メディア

情報を盗み放題? 2年も企業に潜伏し続けたハッカー集団の手口とは:739th Lap

あるハッカー集団は2年間も企業に潜伏し続け、好き放題に情報を盗んでいた。全くその動向が検知されなかったというが、どのような手口だったのか?

» 2023年12月15日 07時00分 公開
[キーマンズネット]

 企業は、システムが停止して脅迫を受けたことで初めてランサムウェア攻撃に遭ったことに気付く。このように、サイバー攻撃の多くは何らかの被害が明らかになることで犯罪者の関与が判明することが多い。

 2年にわたって企業のネットワークに潜伏し、機密データを盗み続けていたハッカー集団の存在が発覚した。なぜ、2年もの間気が付かなかったのか。また、その手口とは?

 長きにわたってサイバー犯罪を仕掛けたハッカー集団「Chimera(キメラ)」。中国政府とつながりがあるとうわさされている。キメラの一味は、オランダの半導体メーカーNXPのネットワークに2017年の末から2020年のはじめにかけて、2年以上も潜んで不正アクセスを続けていたという。

 NXPはヨーロッパ最大の半導体メーカーであり、2006年にPhilipsの半導体部門が分社化して設立されたオランダの企業だ。2015年に米フリースケールを吸収合併して世界市場に大きな影響力を持つこととなった。自動車産業向けの半導体の他、「iPhone」に搭載されるNFCチップなども製造している。

 キメラのハッカーはNXPが開発、製造する半導体やチップに関する設計図など、さまざまな知的財産を盗んだとされている。その犯行は意外なところから発覚したという。

 この件について、2011年11月25日にオランダのニュースメディア「NRC」が報道し、さらにTech系ニュースサイト「Tom's Hardware」が報道したことで注目を集めた。

 記事によれば、キメラがNXPのネットワークに潜んで不正アクセスを続けている間、その攻撃は全く検知されなかったという。ところがキメラのハッカーが潜伏していた同時期の2020年ごろに、KLMオランダ航空の関連企業のトランサヴィア航空で不正アクセスが発覚した。

 トランサヴィア航空のオンライン予約システムに対する不正アクセスが明らかになり、同社がそれを調査したところ、NXPのサーバを介した攻撃トラフィックが判明したという。NXPに問い合わせたところ、当然同社から直接攻撃を仕掛けた事実はない。つまり、キメラのハッカーが踏み台にしていたことでNXPがハッキングされていたことが明らかになった。

 調査によると、NXPの従業員が利用していたSNSから漏えいしたアカウント情報を悪用したプルートフォース攻撃によるものだ。総当たり攻撃によってパスワード保護を突破し、電話番号による二段階認証も特殊な手法で回避していた。NXPのシステムに侵入したキメラのハッカーは社内の機密データを「Microsoft OneDrive」や「Dropbox」「Google Drive」など、従業員が利用するクラウドストレージにアップロードして盗み続けていたため被害に気付けなかったようだ。

 NXPは知的財産の盗難を認めてはいるものの、窃取された情報や被害の影響などは明らかにしていない。ただ、同社によれば盗難による重大な被害は発生していないそうで、各種データは暗号化されているため容易には解析できないと主張している。今後は社内データアクセスに管理をより厳格化し、不正アクセスを防ぐという。

 盗まれた情報が明確にされない件については報道したTom's Hardwareもモヤモヤしているようだ。特にNXPがAppleに提供しているiPhoneのNFCチップに関わる情報漏えいについて言及しないのはどうなのかと指摘している。確かに、ハッキングによってiPhoneのNFCに関連する情報が漏えいしようものなら世界的な大問題になるのは間違いないだろう。2年以上も他社のネットワークにひっそりと潜み続けたハッカー集団をあぶり出せたのは幸運なのかもしれないが、今後さらなる問題が起きないことを願うばかりだ。


上司X

上司X: なんと2年以上も企業のネットワークに潜んで、いろいろな情報を盗み出していたハッカー集団がいた、という話だよ。


ブラックピット

ブラックピット: キメラですか。中国政府と関係があると……。


上司X

上司X: まあ、それは置いておくとしてだ、不正アクセスが2年以上続くというのはなかなか多くない。まさに「潜伏」という表現がぴったりだろう。


ブラックピット

ブラックピット: 静かに静かに情報を盗んでいたんでしょうね。


上司X

上司X: そうらしいな。もっとも、盗まれた張本人であるNXPは「大丈夫」と言っているようだが。


ブラックピット

ブラックピット: 実際のところ、この件が報道されたのが2023年11月でしょう? サイバー攻撃が発覚したのが2020年初め頃ということですから、何か実害があればこの数年で問題になっているのでは?


上司X

上司X: それは確かにそうかもしれないけど。


ブラックピット

ブラックピット: だったらそんなに目くじらを立てることでもないような気がしますけどね。


上司X

上司X: またそんな軽口を言う。でもな、企業としてはそれほど長期間の不正アクセスを許していたということで信頼を失墜することだってあり得る話だからな。他の企業にもこうして潜伏しようとしているハッカーがいないとは言い切れないだろうから、企業の担当者は今後も不正アクセスには敏感になっておくべきだな。

川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。