GhostNet(簡体字中国語:幽灵网、繁体字中国語:幽靈網、ピンイン:YōuLíngWǎng)は、Information Warfare Monitorの研究者が2009年3月に発見した大規模サイバースパイ活動[1] [2]に付けた名称である。この活動は、高度で持続的な脅威、または検知されずにスパイ活動を行うネットワークアクターと関連している可能性が高い。[3]そのコマンドアンドコントロールインフラストラクチャは主に中華人民共和国に拠点を置いており、 GhostNetは103か国の重要な政治、経済、メディアの拠点[4]に侵入している。大使館、外務省、その他の政府機関、およびインド、ロンドン、ニューヨーク市にある ダライ・ラマのチベット亡命センターのコンピュータシステムが侵害された。
GhostNet はInfowar Monitor (IWM)による 10 か月に及ぶ調査の後に発見され命名されたが、この調査は IWM の研究者がジュネーブのダライ・ラマ代表部に接触し[5]、彼らのコンピュータネットワークが侵入された疑いがあることを知った後に行われた。[6] IWM は SecDev Group とカナダのコンサルタント会社、トロント大学ムンク国際問題研究所の Citizen Lab の研究者で構成されており、調査結果は関連出版物であるInfowar Monitorに掲載された。 [7]ケンブリッジ大学コンピュータ研究所の研究者は、情報基盤保護研究所の支援を受けて[8]チベット亡命政府が所在するダラムサラの 3 か所のうちの1 か所での調査にも協力した。 「ゴーストネット」の発見とその活動の詳細は、2009年3月29日にニューヨークタイムズ紙によって報じられた。[7] [9]捜査官たちは当初、電子メールのやり取りやその他のデータが抜き取られた事例など、チベット亡命コミュニティに対する中国のサイバースパイ活動の疑惑に焦点を当てた。 [10]
インド、韓国、インドネシア、ルーマニア、キプロス、マルタ、タイ、台湾、ポルトガル、ドイツ、パキスタンの大使館とラオス首相官邸でシステムへの侵入が発見された。イラン、バングラデシュ、ラトビア、インドネシア、フィリピン、ブルネイ、バルバドス、ブータンの外務省も標的となった。[1] [11] NATOのコンピューターが半日間監視され、ワシントンD.C.のインド大使館のコンピューターが侵入されたが、米国や英国の政府機関が侵入されたという証拠は見つからなかった。[4] [11] [12]
GhostNetは発見以来、他の政府機関のネットワークにも攻撃を仕掛けており、例えば2011年初頭にはカナダの財務省が攻撃を受け、オフラインに追い込まれました。政府はこのような攻撃を通常認めないため、公式ではあるものの匿名の情報源による検証が必要となります。[13]
標的の組織には、文脈上重要な情報を含むメールが送信される。これらのメールには悪意のある添付ファイルが含まれており、開くとトロイの木馬がシステムにアクセスできるようになる。[要出典]このトロイの木馬は、通常中国にある制御サーバーに接続してコマンドを受信する。感染したコンピュータは、制御サーバーによって指定されたコマンドを実行する。場合によっては、制御サーバーによって指定されたコマンドによって、感染したコンピュータにGh0st Ratと呼ばれるトロイの木馬がダウンロードされ、インストールされる。これにより、攻撃者はMicrosoft Windowsを実行しているコンピュータを完全にリアルタイムで制御できるようになる。[4]このようなコンピュータは攻撃者によって制御または検査される可能性があり、このソフトウェアには感染したコンピュータのカメラ機能や音声録音機能をオンにする機能もあり、攻撃者は監視を行うことができる。[7]
IWMの研究者たちは、中国政府がスパイネットワークの責任者であるとは結論づけられなかったと述べた。[14]しかし、ケンブリッジ大学の研究者による報告書では、ダライ・ラマ事務所で分析した侵入の背後には中国政府がいると確信していると述べている。[15]
研究者たちは、ゴーストネットが中国の民間人によって営利目的または愛国的な理由で運営されていた可能性、あるいはロシアやアメリカなどの他国の諜報機関によって作成された可能性も指摘している。[7]中国政府は「いかなるサイバー犯罪も厳しく禁止している」と述べている。[1] [10]
「ゴーストネット報告書」は、ゴーストネット感染に加え、チベット関連組織における無関係な感染事例を複数記録している。スコット・J・ヘンダーソンは、IWM報告書で提供されたメールアドレスを用いて、感染事例の一つ(ゴーストネット以外)の運営者の一人を成都まで追跡することに成功した。彼は、そのハッカーが中国電子科技大学出身の27歳の男性で、現在は中国のアンダーグラウンドハッカーと繋がりがあると特定している。[16]
チベット関連の標的への侵入が中国政府の責任であると特定する証拠は乏しいものの、ケンブリッジ大学の研究者たちは、コンピュータ侵入によって得られた情報と一致する中国政府関係者の行動を発見した。そのような事例の一つとして、ダライ・ラマの代表者からダライ・ラマとの面会への招待メールを受け取った外交官が、北京政府から圧力を受けたという事例がある。 [15]
別の事件では、チベット人女性が中国の諜報員に尋問され、オンラインでの会話の記録を見せられた。[14] [17]しかし、この事件には他の説明も考えられる。ドレルワ氏はQQなどのインスタントメッセンジャーを使って中国のインターネットユーザーとコミュニケーションを取っている。2008年、IWMは、Skypeの中国版であるTOM-Skypeがユーザー間で交換されたテキストメッセージのログを記録し、保存していることを発見した。中国当局がこれらの手段を通じてチャットの記録を入手した可能性もある。[18]
IWMの研究者らは、ゴーストネットが検出された際に、一貫して中国海南島のIPアドレスから制御されていることを発見し、海南島には凌水信号諜報施設と人民解放軍第三技術部がある点を指摘している。[4]さらに、ゴーストネットの4つの制御サーバーのうち1つは政府のサーバーであることが明らかになっている。[詳細] [19]