ゴーストネット

GhostNet（ゴーストネット）

概要

GhostNet（ゴーストネット）は、2009年3月に発見された大規模なサイバースパイ活動です。これは、情報戦争を監視する組織であるInformation Warfare Monitor（IWM）の調査員が名付けたもので、特にAPT攻撃と関連しているとされています。このサイバースパイ活動は主に中華人民共和国を拠点としており、103か国の政治、経済、メディア関連の重要な地点に侵入しました。その結果、多くの国家機関やダライ・ラマのチベット亡命センターのコンピュータシステムが攻撃を受けました。

発見の経緯

GhostNetの発見は、IWMによる約10か月間の調査を経て実現しました。この調査は、チベット亡命政府の代理人が自身のコンピュータが危険に晒されているのではないかと疑ったことから始まりました。IWMは、The SecDev Groupの研究者、およびカナダのCitizen Lab、トロント大学のMunk Centre for International Studiesからの専門家たちによって構成されており、調査結果はInfowar Monitorによって公開されました。さらに、ケンブリッジ大学の支援を受けて、ダライ・ラマのチベット亡命政府の位置するダラムシャーラーが調査され、活動内容の詳細が明らかになりました。この調査の成果は、2009年3月29日付のThe New York Timesに掲載されました。

調査員たちは、電子メール通信の内容のデータが流出した事実に基づき、チベット亡命コミュニティに対する中国のサイバースパイ活動を疑うようになりました。特に、インド、韓国、インドネシア、ルーマニア、キプロス、マルタ、タイ、台湾、ポルトガル、ドイツ、パキスタンの大使館や、ラオス首相官邸がターゲットとして確認されました。また、イラン、バングラデシュ、ラトビアなどの外務省も地域的な標的となっていたことが分かりました。興味深いことに、ナトーのコンピュータも一時監視されたことがあります。

技術的側面

GhostNetの仕組みは、標的となる組織に対し、通常のやり取りに見せかけた電子メールを送り、その中に悪意のあるファイルを添付するというものです。このメールが開かれると、トロイの木馬がコンピュータに侵入し、攻撃者がそのシステムを完全に制御できるようになります。具体的には、感染したコンピュータは中国の制御サーバーと連携し、指示を受け取って様々な命令を実行します。中には、Gh0st RATと呼ばれるトロイの木馬をダウンロードする指令もあり、このプログラムにより不正にカメラやマイクを起動し、情報を収集することが可能になるのです。

さらなる活動

GhostNetの存在が確認された後、多くの政府のネットワークが新たな攻撃にさらされました。2011年の初めに、カナダの財務省が攻撃を受け、一時オフラインに陥る事態が起きました。調査員たちは、この活動の背後に中国政府がいるのかどうかを明確に断定することはできないと述べつつ、ケンブリッジ大学の研究者の一部はダライ・ラマの事務所が侵入に中国が関与していると考えていると報告しました。

さらに、調査員たちはGhostNetが中国市民による私的な活動や他国の諜報機関によるものという可能性も考慮していました。それに対し、中国政府は「サイバー犯罪は固く禁じられている」との立場を示しました。

このGhostNetの存在は、サイバーセキュリティーの重要性を再認識させ、情報戦争の新たな一面を明らかにしました。

もう一度検索