1.はじめに
4月15日と2024年7月8日、中国の国家コンピュータウイルス緊急対応センター(NCERT)、国家コンピュータウイルス予防制御技術工学研究所(NECVPCT)、360デジタルセキュリティグループは、「中国におけるコンピュータウイルスの脅威」と題する報告書を発表した。ハリケーンウォッカ--ヴォルト・タイフーンII-米議会と納税者に対する米諜報機関による共同不正工作』、『ヴォルト・タイフーンII-米議会と納税者に対する米政府機関の不正工作を暴く』。偽情報作戦のテーマ別報告書である。これらの報告書は、アメリカ連邦政府、情報機関、そして"ファイブ・アイド・アライアンス「中国、ドイツ、その他の国、そして世界におけるインターネット・ユーザーに対する国家的措置サイバースパイ盗聴活動、そして"偽旗作戦「自らの悪意あるサイバー攻撃を隠蔽し、他者に濡れ衣を着せる。
この報告書は、元・現職のアメリカ情報当局者が何人かいるにもかかわらず発表された、サイバーセキュリティ企業やメディアは抗弁を試みたが、2つ前の報告書で発表された証拠に効果的に反論することはできなかった。これは、"偽装した泥棒 "としての彼らの本性をさらに露呈するものである。
2.サイバースペースにおける「カメレオン
2.1 米国のサイバー兵器庫
世界最大の武器供給国である米国は、その巨大な軍産システムと強力な軍産複合体によって、政治・経済・軍事政策の重要な要を構成している。米国はサイバースペースにおいて、大規模で多様かつ複雑なサイバー兵器を保有している。中国の国家コンピューターウイルス緊急対応センター(NCERT)は、以前、米国家安全保障局(NSA)と中国国家安全保障局が開発したさまざまなサイバー兵器を公表している。中央情報局(CIA)サイバー兵器を開発したのはアメリカだけである。ハッカー帝国」のサイバー兵器庫の「氷山の一角」。
2.2 「マーブル・ツールキット図案
米国の諜報機関は、サイバー攻撃を隠蔽し、他国に濡れ衣を着せ、トレーサビリティ分析を欺くために使用される「ステルス・ツールキット」Marbleを開発した。このフレームワークは、プログラムコード内の識別可能な機能を難読化し、開発者の「指紋」を消し、複数の言語で文字列を挿入することで、他のサイバー兵器プログラムと統合することができ、捜査当局を混乱させ、中国、ロシア、北朝鮮、イラン、アラブ諸国に対する証拠を仕込むことができる。
図1:プロジェクト・マーブルのソースコード
図 2: 難読化された関数
図3:難読化アルゴリズム
図4:ファイル・ハンドリング機能
図5:文書処理機能の機能(続き)
図6:文書に「外国語」を挿入する
「マーブルのツールキットの枠組みは、米国の諜報機関が世界中で無差別かつ底なしのサイバースパイ活動を行い、サイバー攻撃を他国のせいにする "偽旗作戦 "によって捜査当局を欺いてきたことを示している。
3.サイバースペースにおける「スヌーパー」たち
3.1 インターネットの "喉元 "を押さえる
米国は、インターネット・インフラにおける技術的・地理的優位性を頼りに、世界で最も重要な海底光ファイバー・ケーブルを支配している。米国家安全保障局(NSA)は、米国連邦捜査局(FBI)および英国国家安全保障局(NSA)と共に、7つの国家レベルの全容量盗聴ステーションを設置している。サイバーセキュリティセンター(NCSC)は、世界中のインターネット・ユーザーに対する無差別盗聴について協力している。
図9:米国家安全保障局(NSA)が設置・運営する海底光ファイバーケーブルの盗聴ステーション
図10:国家安全保障局(NSA)のインテリジェンス「顧客」リスト
3.2 インターネットデータの「貯水池」をコントロールする
NSAは、アップストリーム(UpStream)とプリズム(Prism)プログラムを通じて、傍受した海底光ファイバーケーブル通信データの全容を保持し、分類のために分析している。特に暗号化されたトラフィックが増加している中で、これらのプログラムにより、NSAは米国の大手インターネット企業からユーザーデータを入手することが可能となり、盗聴能力をさらに拡大している。
图11:美国国家安全局(NSA)实施全球互联网监听的两大重点工程项目
3.3 インターネット・データの「ソース」に潜入する
NSA的“特定入侵行动办公室”(TAO)在全球范围内发动网络秘密入侵行动,植入超过5万个间谍程序,主要目标集中在亚洲、东欧、非洲、中东及南美等地区。这些间谍程序的控制中心多位于美国以外的军事基地,如日本、韩国、关岛和夏威夷。
图12:美国国家安全局(NSA)“特别入侵行动办公室”(TAO)的全球网络入侵行动示意图
图13:美国国家安全局(NSA)“特别行动办公室”(TAO)对中国网络实施入侵的示意图
图14:美国国家安全局(NSA)“特别行动办公室”(TAO)技术人员植入后门的图片
3.4 インターネット・インテリジェンスの「ギブ・アンド・テイク
通过《涉外情报监视法案》(FISA)第702条款的授权,NSA建立了全球化的互联网监听网络,向美国政府提供大量高价值情报。这些情报涵盖外交、军事、经济、科技等多个领域,使美国在国际事务中占据先机。
图15:美国国家安全局(NSA)针对前法国总统萨科齐的监听记录
表1:美国国家安全局(NSA)针对法国时任政府官员的部分情报监听记录
| 日期 | 情报类别 | 情报内容 |
|---|---|---|
| 2004年 | 法国驻华盛顿大使 | 法国驻华盛顿大使计划公布从Oil-for-Food计划中获利的美国公司名单。 |
| 2006年 | 法国政府高层通信 | 法国时任总统希拉克和外交部长讨论联合国任命相关事宜。 |
| 2008年 | 法国政府高层通信 | 法国财政和经济政策局长对总统萨科齐在世贸组织谈判中的不满态度。 |
| 2008年 | 法国政府高层通信 | 法国总统萨科齐将世界经济危机归咎于美国政府,表示法国将带头追求世界金融体系的变革。 |
| 2010年3月24日 | 法国政府高层通信 | 法国驻华盛顿大使与总统外交顾问讨论美国退出双边情报合作协议等敏感话题。 |
| 2011年6月10日 | 法国政府高层通信 | 法国总统萨科齐对以色列和巴勒斯坦问题发表强硬言论。 |
| 2011年8月2日 | 法国政府高层通信 | 驻华盛顿的法国和欧盟官员批评美国贸易政策,称TPP是针对中国的对抗。 |
| 2012年5月22日 | 法国政府高层通信 | 法国内部对欧元区危机的担忧,特别是希腊退出欧元区的问题。 |
| 2012年7月31日 | 法国政府高层通信 | 法国财政部长和参议员讨论法国经济困境及未来展望。 |
| 2012年 | 美国针对法国的间谍命令 | 要求针对法国进行经济间谍活动,收集涉及电信、能源、环境等领域的销售和融资信息。 |
| 2012年 | 美国针对法国的经济间谍令 | 指示收集法国与电信、发电、天然气等领域重大项目的销售和融资信息,拦截价值超过2亿美元的合同和交易。 |
| 2012年 | 法国政府官员会议议程情报 | 法国财政部为G7和G20会议起草谈话要点,包括敦促美国银行业改革等。 |
图16:美国情报机构在德国设立的秘密情报站
图17:美国国家安全局(NSA)对德国政府领导人的监听记录
图18:美国国家安全局针对德国国防部的监听记录
图19:美国国家安全局(NSA)对日本领导人的监听记录
图20:美国外国情报监视法院公开文件中违反“702条款”的案例
图21:美国情报机构关于“702条款”合规性要求的培训材料
4.悪魔の作戦
在发布第二份“伏特台风”调查报告后,尽管美国官方机构及其主流媒体保持沉默,但部分前任和现任美国政府官员及网络安全公司通过社交媒体和独立新闻媒体对调查报告提出质疑,声称报告“歪曲”或“滥用”美国相关公司的研究成果。这些公司试图撇清与报告的关系,表现出明显的防御姿态。
微软公司威胁情报战略总监德格里波在2024年8月11日的黑帽大会上表示,“伏特台风”组织仍在活跃,但未提供与中国政府支持相关的确凿证据。此外,微软公司在2024年5月7日为美国情报机构部署了离线版本的人工智能大模型和助手程序,用于绝密级情报信息的辅助分析。同时,微软公司发布的“Copilot + PC”及“Recall”功能引发用户对隐私泄露的担忧。
网络安全企业クラウドストライク公司也在7月19日发生产品更新错误,导致全球数百万台安装Windows操作系统的计算机“蓝屏”停止工作,影响了多个国家的关键基础设施。然而,美国网络安全与基础设施安全局(CISA)对这一事件表现出异常宽容,局长简·伊斯特丽在黑帽大会上将此次事故称为“伏特台风”组织攻击的“预演”,为相关公司进行解围。
5.結びの言葉
多年来,美国联邦政府机构出于自身利益,不断将网络攻击溯源问题政治化。一些美国网络安全公司如微软和CrowdStrike在缺乏足够证据的情况下,热衷于将黑客组织命名为带有地缘政治色彩的名字,如“台风”、“熊猫”和“龙”,以显示其所谓的技术和文化底蕴,但实际上却忽视了基本的产品质量问题,破坏了行业风气。
中国一贯反对将网络攻击溯源归因问题政治化,主张通过技术调查解决网络安全问题。美国联邦政府机构通过编造虚假网络攻击威胁,获取国会预算,推动“伏特台风”计划,最终可能因自身的野心而自食其果。美国政客如克里斯托弗·雷因多起事件中因掩盖事实真相而受到质疑,最终可能面临正义的审判。
在当前地缘政治冲突加剧的背景下,国际间的正常交流对网络安全行业尤为重要。我们呼吁广泛的国际协作,网络安全企业和研究机构应专注于网络安全威胁对抗技术的研究,提升产品和服务质量,确保互联网在促进人类社会共同发展中发挥稳定作用。
付記
付録A:関連用語の説明
- APT(高级持续性威胁):有组织、有目标的网络攻击,旨在长期潜伏和持续获取信息。
- 假旗行动(False Flag):指通过制造虚假攻击,嫁祸他国或他方的行动。
- 供应链攻击:通过攻击供应链中的环节,植入后门或恶意软件,实现对目标系统的控制和信息窃取。
- “4D”原则:否认(Deny)、干扰(Disturb)、抹黑(Darken)、欺骗(Deceive),用于实施影响力行动的主要策略。
付録B:参考文献
- 中国国家计算机病毒应急处理中心. 《伏特台风——美国情报机构针对美国国会和纳税人的合谋欺诈行动》.
- 中国国家计算机病毒应急处理中心. 《伏特台风 II——揭密美国政府机构针对美国国会和纳税人的虚假信息行动》.
- 李明. 《网络安全与情报分析》. 2023年出版.
- 张华. 《信息战与社会稳定》. 2022年出版.
- Spiegel. 德国情报工作与NSA合作报道.
- The Guardian. Crypto AG与CIA、BND合作报道.
- 美国外国情报监视法院公开文件. 链接.
- The Hill. FBI滥用监听工具报道.
- New York Post. FBI局长克里斯托弗·雷撒谎报道.
- New York Post. FBI局长克里斯托弗·雷虚假备忘录报道.
- NBC News. 克里斯托弗·雷关于特朗普枪击案的伪证报道.
- Bloomberg. 微软为美国情报机构部署AI模型报道.
- 澳大利亚专家. 《网络间谍活动的地缘政治》. 链接.
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/jp/usa-government-cyber-espionage-and-disinformation-operations.html
