ダークトレースは4月17日、新たな調査レポート「Crimson Echo:ビヘイビア分析を通じて中国系サイバー諜報技術を理解する」の内容を発表した。レポートでは、同社の顧客ベースにおける3年間分のデータの分析に基づき、中国系サイバーアクティビティが実際にどのような仕組みで展開し、どのように進化しているかについてデータドリブンの分析結果を提供している。その概要は以下のとおり。
■中国系アクターが使用している2つの作戦モデル
1.“スマッシュアンドグラブ(Smash andGrab)型”(短期的作戦)
スピードと規模のために最適化された、短期間の機会主義的な侵入。これらの作戦はインターネットに接続されたシステムをエクスプロイトすることが多く、すばやいデータアクセスや情報収集に重点を置く。滞留時間の中央値は10日間程度で、データの抜き出しはしばしば48時間以内に発生する。
2.“ローアンドスロー(Low and Slow)型”(長期的作戦)
永続化と戦略的配置に重点を置いた、より隠密的な作戦。これらの侵入はアイデンティティのコントロールや正規の管理ツールの使用を重視している。そして長い休眠期間を特徴とし、重要インフラ環境内で数か月間、あるいは数年間にわたって継続する。
観測されたケースのほとんどは短期的作戦に分類されるが、長期的作戦は多くの場合、通信、輸送、デジタルインフラ等の高価値な標的に集中しており、将来にわたる戦略的影響力を重視していることがうかがわれる。
また、同じ作戦エコシステムにおいて両方のモデルを並行して利用し、標的の価値、緊急性、意図するアクセスに基づいて適切なモデルを選択する場合もある。
“スマッシュアンドグラブ”モデルが見られたからといって諜報活動が失敗したとのみ解釈すべきではなく、むしろ目標に沿った作戦上の選択かもしれないと見るべき。“ローアンドスロー”型は粘り強い活動のために最適化され、“スマッシュアンドグラブ” 型はスピードのために最適化されている。どちらも意図的な作戦上の選択と見られ、必ずしも能力を表していない。
関連リンク