Tick (ハッカー集団)

Tick（ティック^[1]）は、中国を拠点にしているハッカー集団^[2][3][4]。Tickは英語で「ダニ」を意味し^[4]、最初に発見した米セキュリティ企業シマンテックが名付けたものである^[5]。 トレンドマイクロは「REDBALDKNIGHT」^[6]、ロシアのカスペルスキーは「The Bald Knight Rises」（使用するマルウェアのアイコンに映画『ダークナイト ライジング』を使用していたため）^[7]、Dell傘下のセキュアワークスは「BRONZE BUTLER」とそれぞれ命名している^[8]。 松本光弘警察庁長官は2021年4月に行われた定例記者会見で、「中国人民解放軍戦略支援部隊ネットワークシステム部、第61419部隊が関与している可能性が高い」と発言している^[9]。

Tickの中核組織のメンバーは5～6人で、その配下に15～16人が属する小規模な集団^[4]。 初めて報告されたのは2016年だが、発見したシマンテックによると2006年頃には活動を開始していたとしている^[10]。

トレンドマイクロは、セキュリティソフトや機器の検査をすり抜けるマルウェアを開発するなど、高度なスキルをもつ攻撃集団だとしている。また2018年11月頃から活動が活発になっているとしている^[11]。

背後にいる組織

目的が金銭ではなく、機密情報やインフラ情報を目的としていることや、高い技術力、長期に渡って活動していることから^[10]、国家を後ろ盾にしているハッカー集団とみられている^[12]。

同グループの背後には、中国山東省青島市を拠点とし、中国人民解放軍の日本および韓国へのサイバー攻撃を担当している61419部隊がいると目されているが^[13]、正規部隊ではないとの報道もある^[4]。

アメリカによると、中国人民解放軍にはネットワークシステム部という部局があり、サイバースパイ活動、サイバー攻撃、敵国の情報システムの妨害・かく乱などが任務だという^[14]。中国政府系のハッカー集団の特徴として、犯行が発覚しやすいサイバー攻撃や破壊工作はせず、長期に渡って潜入し続け防衛機密などを奪っていく^[15]。

標的

ターゲットにしているのは日本の防衛や重要インフラを担う企業や官公庁^[16]、航空や宇宙に関する研究組織など^[17]。

感染経路は主に3つで、スピアフィッシング（標的型メール）、水飲み場型攻撃、未解決の脆弱性悪用といった手口でシステムに侵入する^[7]。同集団は日本語を使いこなし、メール本文や添付されている不審なファイルの名前にも日本語が使用されていることが多い^[5]。 デロイト トーマツ サイバーは「最近は攻撃メールの文面の日本語が自然になっていて偽物と気付きにくい。企業は警察や公的機関が実施するサイバー演習に積極的に参加し、何かあったとき、すぐに対処できる体制をつくるべきだ」と警告した^[18]。

日本と韓国以外にもロシア、シンガポール、中国の法人に対する諜報活動も確認されている^[6]。

• XXMM：ドロッパー、ローダー、バックドアなどの複数モジュールで構成されるコンテナ。
• Wali：XXMMの亜種の一つ。
• Datper：XXMMとは別種のマルウェア。
• VBEマルウェア：Encoded VBScriptで作成されたトロイの木馬。

発覚を遅らせる技術

マルウェアによる通信を実行毎に作成するランダムなRC4キーを使って暗号化し^[19]、リクエストのデータ部分に命令やその実行結果を含ませることでログを秘匿、サイズ制限のあるウィルススキャンを回避するための大量のゴミデータの生成^[7]、不自然では無いように会社の業務時間内のみの通信制限^[7]、画像に情報を埋め込むステガノグラフィー^[7]、感染企業ごとにC&Cサーバを変更するなどの隠蔽工作を行う^[20]。そして対象のシステムから情報を盗んだ後は、侵入の痕跡を消す。このためTickの犯行は発見しにくい^[21]。

2015年7月、Adobe Flashの脆弱性を突く水飲み場型攻撃が日本の3つのウェブサイトに仕掛けられていたのが発見された^[10]。

2016年5月、日本の企業約20社が「Daserf」と呼ばれるトロイの木馬に感染している事が分かった。これは意図せず広まったもので、Tickが狙っていたのは、テクノロジー、エンジニアリング、報道など大手7社だったことが判明した。侵入後、最長で18カ月ほどスパイ活動を行っていた^[10]。

2016年9月から2017年4月にかけて、日本の宇宙航空研究開発機構(JAXA)、国内防衛、航空関連企業を含む約200の企業や研究機関へのサイバー攻撃に関与したとされる^[2]。攻撃は日本製のクライアント運用管理ソフトウェア「SKYSEA Client View」のゼロデイ脆弱性を利用し行われた^[4]。

2016年12月21日、同ソフトを販売するSky株式会社が脆弱性（CVE-2016-7836）を公表。同時に対策パッチおよびセキュリティ強化を施した新バージョンをリリースした^[22]。

2019年2月、JPCERT/CCがSKYSEAの脆弱性を突いた攻撃があったことを確認した^[5]。

2021年4月20日、警視庁公安部は中国共産党員で中国国営の通信会社のシステムエンジニアの30代の男Aを書類送検した。容疑はこの攻撃で使用された日本国内のレンタルサーバーを5回に渡り偽名で契約するなどした私電磁的記録不正作出・同供用の疑い^[13]。男は当時日本に滞在していた61419部隊の別の中国人男性Bの指示を受けてレンタルサーバーを契約し、IDやパスワードなどをTickに転売^[2]。Tickがサイバー攻撃を実行したとみられる^[23]。

中国は2017年に国家情報法を施行した。これは中国企業や中国人に、国内外で情報活動への協力を義務付けた法律で^[24]、この事件が起こる前に、軍関係者の女が中国人留学生に「国家への貢献」だと言い契約を指示していたこともメールなどのやり取りから判明している^[24]。

今回の捜査は、警視庁公安部に2017年に設置された「サイバー攻撃対策センター」が中心になって行われた^[17]。警視庁がサイバー犯罪において犯人を名指するのは異例だが、2人は既に日本を出国していた^[17]。 この発表を受け中国外務省は「根拠なく推測してはならない」と反発した^[14]。

10月、東京地検は不起訴（起訴猶予）とした^[25]。

12月28日、警視庁公安部は、前述の中国籍の元留学生が61419部隊に所属する軍人の妻からの指示で^[26]、日本製のセキュリティソフトを虚偽の情報で購入しようとした購入詐欺未遂の疑いで逮捕状を取った。容疑者は既に出国しているため、国際刑事警察機構(ICPO)を通じて国際手配した^[25]。

2020年1月20日、朝日新聞は日本で長年にわたり防衛省契約実績第1位を維持している三菱電機が、大規模なサイバー攻撃を受け、主要取引先である、防衛省、環境省、内閣府、原子力規制委員会、資源エネルギー庁など10を超える政府機関と、大手の電力会社、電気通信事業者、JR、私鉄、自動車産業など少なくとも数十社の民間企業が不正アクセスを受け情報が外部に流出した可能性があると報じた^[12]。三菱電機は当初沈黙を貫いていたが^[27]、報道を受け8122人分の個人情報と、官民の取引先の機密情報が流出した可能性があると認めた^[28]。

しかし「社会インフラに関する機微な情報や取引先に関わる重要な情報は流出していないことを確認した」とし^[11]、河野太郎防衛大臣（当時）も記者団に対し「防衛省の機微情報の流出はなかったと確認されている」と述べた。関係者によるとこの攻撃にはTickが関与した可能性があるという^[11]。この事件は、中国の関連会社がスタート地点になっていたサプライチェーン攻撃だったとされている^[12]。

1月22日、朝日新聞はTick以外にも、台湾や日本を標的にしている「BlackTech」（ブラックテック）と呼ばれる中国系ハッカー集団も攻撃に関与していたと報じた^[28]。

2月10日、防衛省が「自衛隊の装備品の試作に関する入札の情報が流出した可能性がある」、また朝日新聞も「防衛装備品に関する『機微な情報』が含まれていた」と報じた^[29]。

• 警察庁「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」 (PDF)
• ラック サイバーグリッド研究所「日本の重要インフラ事業者を狙った攻撃者」 (PDF)
• セキュアワークス「日本企業を狙う高度なサイバー攻撃の全貌 – BRONZE BUTLER」