FBI による法的措置：中国由来のマルウェア PlugX を 4,200台のコンピュータから削除

FBI deleted Chinese malware from 4,200 US computers

2025/01/14 NextGov — 2025年1月14日 (火) に FBI が発表したのは、中国政府が支援するマルウェアに感染した、米国内のコンピューター 約4,200台 から悪意のソフトウェアを排除するために、数か月にわたるオペレーションを実施していたことである。この悪意のソフトウェアは、被害者のマシンに感染した後に、それらを不正に制御し、情報を盗むようにデザインされている。

この PlugXと呼ばれるソフトウェアは、中国政府が支援するハッキング部隊 Twill Typhoon により拡散されていた。

司法省 (DoJ) が提供した裁判文書によると、2012年以降において FBI が追跡してきた PlugX の亜種は、被害者のコンピューターにリモートアクセスし、コマンドを実行し、保存されているファイルを盗み出すものだ。

フランスの法執行機関の捜査員と、フランスのサイバー企業 Sekoia.io は、被害者のデバイスからマルウェアを削除するために用いることが可能な、コマンドの特定と作成を支援した。そして、2024年8月の時点で、裁判所から削除手続きの許可を受けた DoJ と FBI は、米国内のコンピューター 4,258台とネットワークから、このマルウェアを削除した。

このの感染の被害者に対しては、それぞれのインターネット・サービス・プロバイダーを介して通知が行われている。 PlugX の特定のバージョンは、Windows ベースのコンピュータに接続された、USB デバイスを介して拡散していた。いったん感染した PlugX は、コンピューターの再起動時にされるようプログラムされており、被害者のマシンに残り続ける。

さらに、PlugX に感染したコンピューターは、マルウェア内にハードコードされた C2 (Command and Control) サーバへの通信を確立するプログラムが組み込まれている。裁判所の書類に記載された IP アドレスのスキャン結果によると、被害者のデバイスからデータをルーティングするセンター・コマンド・サーバは、東京のデータセンターに配置されているようだ。

この文書によると、あるフランスの法執行機関が、その C2 サーバにアクセスしたとのことだ。なお、2024年7月の時点で、フランス当局は PlugX 拡散に関する調査を開始し、フランス国内の何千ものマシンが、このマルウェアに感染していたことを確認している。

DoJ によると、2014年以降において、Twill Typhoon は米国の組織や、ヨーロッパとアジアの政府、中国の反体制グループを標的にしてきたという。このハッキング部隊は、スパイ活動や重要インフラへの侵入を目的とする、北京に支援されるサイバー攻撃グループを指すときに、セキュリティ・コミュニティの人々が用いる Typhoon という名前を持つ。つまり、北京に支援される、シンジケートに属する部隊の１つだと見なされている。

たとえば、Salt Typhoon は、テレコムへのハッキングで話題を呼んでいる。その一方で Silk Typhoon は、機密性の高い金融データや制裁データを扱う、財務省内の複数の事務所に侵入したグループとして特定されている。

新たに発足したトランプ 2.0 政権のサイバー戦士たちは、サイバー空間で中国などの敵対国に対して、より攻撃的なサイバー作戦を実施する、権限を与えられるかもしれない。次期政権の指導者の中には、この戦術を支持する声もある。ドナルド・トランプ 2.0 清家において、国家安全保障問題担当の大統領補佐官に選ばれた Mike Walz 下院議員 (共和党・フロリダ州) は、2014年12月の時点で、「米国は攻撃を開始し、米国のネットワークに侵入する脅威アクターたちに、多大なコストを課し始めるべきだ」と述べている。

また、下院軍事委員会の Cyber and IT 小委員会の委員長である Don Bacon 下院議員 (共和党・ネブラスカ州) は、「我々は敵対者のネットワークに侵入し、悪さを行う。つまり、このゲームには、双方が参加することになるだろう」と、1月13日 (月) に Politico に語っている。

すでに FBI は、中国などの攻撃者に対して、厳重な取り締まりを実施しているが、それらの措置は、防御策としてだけ機能するものであり、敵対者の行動を広範で阻止するものではないと、多くの人々が主張している。

DoJ 国家安全保障局の Matthew Olsen 司法次官補は、「DoJ は、犯人の逮捕と起訴に取り組む一方で、米国民を被害から守るための、サイバー脅威に対する積極的な阻止を優先している。したがって、このオペレーションは、中国やロシアのハッカー集団に対する他の技術的な展開と同様に、強力なパートナーシップに依存し、悪意のサイバー活動に適切に対抗するものである」と述べている。

このブログで、PlugX に関する最も古い記事は、2021/07/28 の「中国のハッカーたちが脆弱化した MS Exchange に PlugX マルウェアを注ぎ込む」でした。それ以降も、何度か登場し、直近のものは 2023/05/18  の「中国 – 台湾の緊張関係とサイバー戦争：PlugX マルウェアを仕込んだフィッシング攻撃が激化」となっていました。よろしければ、PlugX で検索と併せて、ご参照ください。