中国のサイバー Offense/Defense パワー:世界の脆弱性情報エコシステムとの関係を考察する – ETH Zurich

Bug Bounty Programs, Hacking Contests Power China’s Cyber Offense

2024/06/18 DarkReading — これまでの 10年間を振り返ってみると、中国のサイバー・セキュリティ専門家は、世界的なエクスプロイト・コンテストや、バグ・バウンティ・プログラムへの遠慮がちな参加者から、これらの分野における支配的なプレーヤーへと進化している。そして、中国政府は、この戦利品を国家のサイバー攻撃力強化に活用している。


たとえば 2014年の Keen Teamは、Pwn2Own エクスプロイト・コンテストにおいて、賞金の 13% を獲得する唯一の中国ハッキング・グループだった。しかし、先週に発表された報告書 “From Vegas to Chengdu Hacking Contests, Bug Bounties, and China’s Offensive Cyber Ecosystem” から読み取れる 2017年までのデータによると、中国を拠点とする7つのチームが、コンテストの賞金の 79% を集めているという。その翌年に中国は、脆弱性情報が国家安全保障にとって重要すぎると判断し、欧米のコンテストへの参加を禁止している。

チューリッヒ工科大学 (ETH Zurich) Center for Security Studies (CSS) 上級研究員であり、この報告書の著者である Eugenio Benincasa は、「民間ハッカーたちが、中国のサイバー攻撃プログラムにダイレクトな利益をもたらしており、中国のサイバー・セキュリティ・パイプラインの成功の一例となっている。中国政府は、民間研究者の脆弱性開示プロセスにおける最終的な受け手として、自らを戦略的に位置づけることで、世界でもトップ・クラスの民間脆弱性研究者たちを、大規模かつ無償で活用している」と述べている。

米国/豪州/日本/韓国などのアジア太平洋地域の国々が、中国の APT (Advanced Persistent Threat:持続的な脅威) グループからの攻撃に対する、サイバー防御の改善に苦慮している中で、このオープンソースの情報報告書が発表された。今年の初め、著名な米国政府高官は、中国が将来の紛争に備えて、軍事ハッカーを事前に配置するため、重要インフラが危険にさらしていると警告した。また、最近に発覚した “Operation Crimson Palace” では、中国の3つの脅威チームが、東南アジアの政府機関に対して協調攻撃を行っている。

強固なサイバー・パイプライン

大学間の旗取り競争から始まり、軍事サイバー作戦を可能にするエクスプロイトで終わる、中国の民間ハッカー育成のパイプラインが浮き彫りにするのは、実用的なサイバー・セキュリティを重視する中国の利点である。中国のサイバー攻撃能力は、脆弱性開示規則である “Regulations on the Management of Security Vulnerabilities in Network Products (RMSV)” の施行からも大きな恩恵を受けている。いずれのプログラムも、中国の全体的な Military-Civil Fusion (MCF) 構想の一部である。

サイバー・セキュリティの専門知識と脆弱性情報のパイプラインを示すフローチャート
From Vegas to Chengdu Hacking Contests, Bug Bounties, and China’s Offensive Cyber Ecosystem

ソフトウェア・セキュリティ企業 Veracode の CTO である Chris Wysopal は、「急増する技術系卒業生を脆弱性の発見に集中させることで、攻撃能力を増幅させることが可能だと言う。そこには規模の違いがある。つまり、彼らは数多くの技術系卒業生を抱えており、そのような人材が、Google Android などの脆弱性を見つけるために活用されている。その結果が示すのは、インセンティブが有利に働いていることの証拠でもある」と述べている。

中国のサイバー攻撃エコシステムには、2つのハッカー・グループが存在する。第一のグループは、バグ報奨金プログラムやハッキング・コンテスト (Pwn2Own や 、中国ベースのコンテストとして設立された Tianfu Cup など) に出場することで頭角を現してきた、脆弱性研究者や攻撃的セキュリティの専門家たちである。

第二のグループは、特定のターゲットへの攻撃に使用するために、脆弱性を武器化する契約ハッカーやプロ・ハッカーで構成されている。第一のグループにより開発されたエクスプロイトが、第二のグループにより使用されることも数多くある。この事実は、今年の初めの iSoon リークで議論された

かつて、脆弱性研究チームは、少なくとも 19 のチームを抱える Qihoo 360 や、9 つのチームを抱える Ant Group、7つの研究グループを抱える Tencent などの、大企業の技術グループに所属するのが一般的だった。しかし、現在では、研究者たちはサイバー・セキュリティ専門企業に所属していることが多い。

当初、中国の民間ハッカーたちは、Pwn2Own などの欧米のエクスプロイト開発コンテストや、バグ報奨金プログラムに参加することでトレーニングを積んできた。しかし、現在においては、こうした取り組みやプログラムの大半が国内で実施されており、多くのケースにおいて、トップ・クラスの国立技術大学が資金面でバックアップしている。

サイバー・セキュリティのスーパースター

この報告書によると、中国のプログラムに多大な貢献をしている研究者は一握りであり、中国が少数の研究者グループに依存していることが浮き彫りにされている。

たとえば、Google Android の脆弱性の 50% 以上は、Qihoo 360 の Security Response Center (360 SRC) のものとされており、そのコントリビューターの一人として Han Zinuo の名前が挙げられている。Zinuo がサイバー・セキュリティ企業の Oppo に移籍したとき、360 SRC からの投稿は減少し、Oppo からの投稿が増加したと、研究論文は述べている。同様に、別の研究者である Yuki Chen のコントリビューションは、Qihoo 360 のVulcan 研究者グループから Microsoft に提出された脆弱性の 68% を占めていた。しかし、彼が 2020年にブティック企業 Cyber Kunlun に移籍すると、Microsoft バグ報奨金プログラムに提供された脆弱性は、Qihoo 360 からのものが大幅に減少し、Cyber Kunlun が急増したという。

全体として、中国企業が米ソフトウェア大手3社 (Apple/Google/Microsoft) に報告した脆弱性の数は、2020年から減少している。つまり、中国企業が発見した脆弱性が報告されなくなったことを示唆する可能性もあるが、中国軍とのつながりを理由にして、2020年5月に Qihoo 360 をブラック・リストに登録するなどの、米国による制裁が強化された時期とも重なる。

この報告書は、「一連の脆弱性報告の減少により、グローバルなエコシステムにおける脆弱性報告の、重要なチャネルが失われる可能性が懸念される」と述べている。

防衛にとってのマイナス面

いまの中国チームは、欧米のハッキング大会への参加を抑制されているため、防衛戦略としての大会の効果が、薄れていることは間違いない。たとえば、2022年と2023年の Pwn2Own では、Apple iPhone や Google Pixel へのハッキングを試みるチームがなかった。Apple iPhone に関して言えば、それは 15年ぶりのことだった。

この報告書には、「これらのデバイスを専門に狙う、中国のハッキング・チームが目立たないということは、iPhone/Pixel への侵入が不可能になったと考えるよりも、今回の事態をはるかに上手く説明している。それと同時に、これらの脆弱性は、悪意のサイバー・オペレーションで使用される可能性があるため、中国のセキュリティ機関により評価されている可能性が高い」と記されている。

Pwn2Own コンペティションを運営する、Trend Micro – Zero Day Initiative の脅威認識責任者である Dustin Childs は、このようなエクスプロイトを。詳細を伴わずに開示することは、攻撃者に対して脆弱性を再発見させる可能性を生じると言う。

彼は、「これらの脆弱性は、すでにステージ上で実証されている。したがって脅威アクターたちは、悪用を不可能にするパッチを元に戻すことが、時間の無駄ではないことを理解している。これが、私たちがベンダーに対して、コンテストへの参加を呼びかける理由である」と述べている。

エクスプロイトを扱う民間組織は、脆弱性市場への警鐘として機能している。エクスプロイトを販売する Zerodium は、Google Android のゼロクリック・エクスプロイト・チェーンを見つけたハッカーに $2.5 million を、iOS における同様の攻撃に $2 million の報酬を提供している。

中国独自のハッキング競争

その一方で中国は、グローバルな情報インフラから自らを切り離し、インフラを国内開発技術に移行しつつある。当然のことながら、サイバー・セキュリティのパイプラインも、この動きに追随している。したがっ、いくつかの主要なエクスプロイト・コンペティションでは、中国製品への注目が高まっている。

この報告書の著者である Eugenio Benincasa は、「長期的に見ると、中国は2つの道を歩まざるを得なくなるだろう。中国のハッキング・コンテストでは、自国製品に対する注力が見られる。その一方で、欧米製品にも強い関心を持ち続けるという、興味深い変化が見られる」と締め括っている。

このような長い記事を訳すには、通常の脆弱性に関連する記事と比べて、何倍も時間がかかりますし、疲れますし・・・ ということで、かなり躊躇するのですが、中国における脆弱性情報のエコシステムを知りたいという気持ちが勝ちました。そして、訳し終えて、良かったと思っています。関連情報として、2021/09/01 の「中国政府の脆弱性報告 Web サイトは4つの分野に対応する」も、よろしければ、ご参照ください。