通信事業者のサーバーからSMSメッセージを盗むマルウェア--中国が関与か

　米サイバーセキュリティ企業FireEyeは米国時間10月31日、モバイル通信事業者のネットワークからSMSメッセージを盗み取るLinuxベースのマルウェアを発見したと発表した。中国政府の支援を受けたハッキング集団の1つが開発したとみている。

提供：Image: FireEye

　このマルウェアは、ショートメッセージサービスセンター（SMSC）のサーバー上で動作するようになっている。SMSCサーバーは、SMS通信を取り扱うモバイル通信事業者のネットワーク内に設置されているサーバーだ。

　FireEyeは、2019年に入ってからあるモバイル事業者のネットワーク上でこのマルウェアを発見したと述べている。

「MESSAGETAP」の動作

　同社のアナリストらによると、ハッカー集団は、現時点で社名が伏せられているある通信事業者のネットワークに侵入し、「MESSAGETAP」と名付けられたマルウェアをSMSCサーバーに仕込んだという。同マルウェアはこのサーバー上で、入電してきたSMSメッセージを傍受し、一連のフィルターを適用するようになっていた。

　MESSAGETAPはまず、SMSメッセージの本体に特定の単語が含まれているかどうかをチェックし、後でメッセージを盗み出すために取り分ける。

　FireEyeは「キーワードのリストには、中国諜報機関の地政学的な関心に合致するものが含まれている。抽出対象の例として、中国政府と対立する政治指導者や、軍の組織、諜報機関、政治運動が挙げられる」と述べている。

　さらに、MESSAGETAPは特定の電話番号や、特定のIMSI識別番号（携帯電話の固有識別番号）に対して受発信されたSMSメッセージも取り分けるようになっている。FireEyeによると、このマルウェアは大量の電話番号やIMSI識別番号を同時に捕捉できるようになっているという。

ハッカー集団APT41が関与か

　同社のアナリストらは、APT41と呼ぶ、中国の比較的新しいハッカー集団がこのマルウェアに関与しているとみている。

　FireEyeは以前のレポートで、APT41が政治的な動機に基づくサイバー諜報活動だけでなく、おそらくはメンバーの個人的な利益を追求するための金銭的動機に基づくハッキングを行っているという点で、中国における他のハッカー集団とは一線を画していると述べていた。

　さらにFireEyeは、APT41によってハッキングされた通信事業者のネットワーク上で、モバイル通信事業者の管理する呼詳細レコード（CDR）データベースがアクセスされていた痕跡も発見している。CDRデータベースには、過去の通話に関するメタデータが記録されている。

　FireEyeによると、APT41は「中国諜報機関が関心を抱いている外国高官に関連するCDRの記録」に対して検索を実行していたという。

　FireEyeは被害に遭った通信事業者の名前や、諜報活動の対象となった標的の名前を公開していないが、ReutersのジャーナリストはMESSAGETAPがウイグルの少数民族を追跡するための中国の行動に関連付けられており、そのなかにはウイグル人旅行者の足取りを追跡するためのハッキングも含まれていたと述べている。