中国政府や中国企業からの漏洩データがダークウェブで販売中

2023/02/01

記事一覧サイバーセキュリティニュース脅威インテリジェンス

2022年12月から現在にかけて、複数の中国政府・企業に関するデータベースが漏洩し、ダークウェブフォーラムで販売されています。
脅威アクターによる販売行為は全て、非中国語圏のダークウェブで行われており、（台湾を含む）中国発の情報が、ダークウェブ市場でのトレンドとなりつつあることを示すものです。

中国については、国家APTによるサイバー攻撃や、中国製機器・システムを通じた情報窃取・監視が話題となりますが、中国政府機関や、中国系企業、中国を拠点に活動する法人もまたサイバー犯罪の標的となっています。
海外法人や現地企業とのジョイントベンチャー等が攻撃の被害を受けることのないよう、適切な予防策を講じることが重要です。

脅威インテリジェンスプラットフォームCognyteは、ダークウェブやSNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、リスクを軽減させるサービスです。
Cognyteが持つ機能の一例として本レポートを紹介します。

Cognyte CTI Research Group@Cognyte | 2023年2月

脅威インテリジェンスサービス
Cognyteはこちら

記事に関するお問い合わせはこちらへ(ＳＯＭＰＯホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

中国疾病予防管理センター

2023年1月18日、「sorb」と名乗る脅威アクターが中国疾病予防管理センター（正式名称：「中国疾病預防控制中心」）から流出した130万件のデータをダークウェブマーケット上に投稿しました。
sorbの説明とサンプルデータによれば、このデータベースには2021年に医療機関への入院を認められた中国国民に関する医療個人情報が含まれているとのことです。
データベースが含む情報は以下のとおりです。

氏名
性別
出身地域
入院と退院の日時
医療機関名
電話番号（約38万件のみ）
受け入れた医療機関職員の氏名

個人情報はすべて四川省瀘州市および徳陽市の医療機関から取得されたものであり、sorbは700米ドルで販売しています。

脅威アクター「sorb」は非常に活発に活動しており、フランスやインド、ニュージーランド、そして中国を含む様々な国から入手した流出データベースを販売しています。sorbは購入希望者向けにTelegramアカウントも開設しています。

中国疾病予防管理センターの医療個人情報データベースを販売するダークウェブ上の投稿　出典：Luminar

中国企業および政府機関の8.1ギガバイトデータベース

2023年1月18日、「Arda 1984」と名乗る脅威アクターが、中国国内の大企業および政府機関に関するデータベースの販売をダークウェブ上に投稿しました。
Arda 1984は、上海のIT企業に関する業務データをサンプルとして提示しています。

販売されているデータは、過去の事例などから推測すると、中国国内のビジネス用情報ポータルから取得されたものであると考えられます。このような情報ポータルは、政府への事業登録申請等で幅広く利用されています。
今回の販売は、情報ポータルから盗まれた企業データを、「中国政府から入手」と称して再販売しようとする試みの可能性があります。

Arda 1984による中国企業・組織データ販売投稿　出典：Luminar

グリー・エレクトリック

2023年1月10日、「hackz」と名乗る脅威アクターが中国の家電メーカー、グリー・エレクトリック（珠海格力电器股份有限公司、Gree Electric Appliances）に関する110万件のデータを販売しました。
販売されているデータベースには以下の情報が含まれています。

会社のワークオーダー
顧客の氏名および詳細情報

ダークウェブにおけるやり取りの過程で、hackzは中国および台湾に関連する流出データの販売も提示しています。

hackzによるグリー・エレクトリック漏洩データの販売　出典：Luminar

ロシア語フォーラムで販売されている中国移動通信のデータベース

2022年12月、ロシア語の大手ハッキングフォーラムXSSの複数アカウントが、大手通信事業者である中国移動通信（中国移动通信集团有限公司、China Mobile）のデータベースを投稿しました。
データは中国移動通信のサーバーへのアクセス手段および、従業員に関する氏名、電話番号、ID、住所等を含んでいることが推測されます。

中国移動通信のデータベースおよびサーバーへのアクセスを販売している投稿　出典：Luminar