暴かれた「Hacking Team」の実像 政府御用達『スパイウェア』製造企業はなぜ狙われたか(前編)

江添 佳代子

July 29, 2015 12:30
by 江添 佳代子

2015年7月の第1週、「Hacking Team」社の機密情報が大量に漏洩した。Hacking Teamは情報セキュリティ業界の中でも特殊なジャンルの企業であるため、この事件は一般企業の情報漏洩事件とはまったく性質が異なっている。まずは同社が特別である理由と、今回の情報流出によって明かされた数々の問題点について解説していきたい。

Hacking Teamが販売するスパイウェアと、同社を巡る疑惑

Hacking Teamは、世界の政府機関や法執行機関にソフトウェアを販売しているイタリアの企業だ。彼らが扱っているのは、一般人が利用するソフトウェアではなく、いわゆる「スパイウェア」と呼ばれるものである。そのツールは、市民が所持するさまざまなデバイス(PCや携帯電話など)の脆弱性を利用して機器に潜伏し、持ち主のネット活動を監視して、その内容をオーナー(つまり政府の諜報機関など)に報告する。

「それは要するに、監視用のマルウェアではないか。そんなものを販売していいのか?」と思われる方もいるだろう。その点は、もちろん大いに議論される問題だ。この問いに対し、Hacking Teamはカスタマーポリシーの中で、「われわれは法の執行機関や諜報機関による捜査を助けるためにツールを販売している」「抑圧的な政権とは取引をしない」と主張している。

つまり、言論や報道の自由が保障されている国の政府機関が利用するのだから問題はない、というスタンスである。それならば民主主義国家は市民のデバイスにスパイウェアを仕掛けていいのか? という議論も当然のようにあるのだが、その点については稿を改めたい。

一部の専門家やジャーナリストたちは何年も前から、このHacking Teamの主張が実際の活動から乖離しているのではないかと指摘し続けていた。その一例として、2012年8月20日に掲載された『Slate』の記事を挙げたい。この記事は、「モロッコ政府のスキャンダルを追っていたジャーナリストたちを標的として仕掛けられたマルウェア」について詳しく解説している。

Slateは、それがモロッコ政府の送り込んだ罠であるか否かを断言することは避けたものの、このマルウェアの正体は「Remote Control Systems(RCS、製品名ガリレオ)」である可能性が高いと指摘した。ガリレオはHacking Teamの主力商品で、その機能は以下のように説明されている。

  • ガリレオは、標的のデバイスに自身を隠す盗聴用のソフトウェアである
  • 標的に文書ファイルを開かせることで感染し、最大で数十万人規模を監視することができる
  • Skype上で行われるチャット、タイピングしたキーの記録、Webカメラのスナップショットを盗む

もしモロッコ政府がガリレオを利用したのであれば、Hacking Teamは抑圧的な政府を相手に、ジャーナリストの活動を盗聴するためのツールを販売したということになる。これはほんの一例で、同社はこれまでに何度も複数のメディアから「疑惑の企業」として取り上げられてきた。スパイウェアの販売企業(Hacking Team以外にも、ドイツのGamma Group、ドイツのTrovicorなどの競合がいる)は、報道機関や人権活動家にとって「敵」のような存在であるため、特に槍玉に挙げられやすかったとも言える。だが、これらの企業は相当な秘密主義で、ジャーナリストたちが疑惑を裏付けるための証拠を得るのは困難だった。

情報漏洩で明らかとなった「抑圧的な顧客たち」と販売パートナー

それだけに、「疑惑」のHacking Teamが大規模なハッキング攻撃を受け、そこから流出した機微情報がネットで公開された衝撃は大きかった。その大量のデータには、同社が販売しているツールのソースコードや極秘のメールが含まれており、本物である可能性が高いと考えられている。

この事件で流出した文書は、Hacking Teamの契約の内容も明らかにした。例えば米FBIは2011年から同社のスパイウェアを購入しており、これまで77 .5万ドルを費やしている。あのFBIがイタリアからスパイウェアを買っていたというのは、なかなか興味深い。しかし、それよりもはるかに大きな話題を呼んでいるのは、過去に多くのメディアが指摘してきた「疑惑」が「事実」として確認されたことである。

漏洩した文書によれば、Hacking Teamは実に様々な国の政府にスパイウェアを販売していたようだ。そこにはモロッコ、カザフスタン、エチオピア、バーレーン、バングラデシュ、サウジアラビア、スーダンなどの国々も含まれている。それらの多くは、市民の発言の自由が危ぶまれている国である。例えばサウジアラビアでは昨年、Facebookに反イスラム的な書き込みをした市民が1000回の鞭打ち刑に処され、投獄されている。そういった国の政府に導入されたスパイウェアが、どのような働きをするのかは想像に難くない。

このデータ流出により、Hacking Teamのツールを購入した顧客のリストだけではなく、販売代理店業務を担っていたパートナーたちの大規模なネットワークも判明した。それぞれのパートナーについては、以前から同社の疑惑を報じていた『MotherBoard』が詳しく伝えている。その記事によると、Hacking Teamのパートナーの一部はアメリカをベースとする企業であり、AECOM、Technology Control、YES Solutionsの3社は、ともに同社のスパイウェアをサウジアラビアに販売していた。

特に問題視されているのが、アメリカ企業のCyberpoint Internationalだ。漏洩文書によれば、同社はHacking Teamのスパイウェアをアラブ首長国連邦(UAE)に販売していた。UAEは、人権派の活動家たちにスパイウェアを使用していることで知られている。そしてCyberpointは米国の業界の有力者たちと繋がりが深く、米国務省からは「特別な輸出許可」を得ていたため、そのスパイウェアをUAEに輸出することができた。この、なにやら訝しいHacking TeamとCyberpointと米国政府の関係については、7月7日の『The Intercept』が詳しく取り上げているのだが、きりがないので本稿では省略したい。

Hacking Teamの販売代理業務を行うパートナーは、もちろん米国企業だけではなかった。先に紹介したMotherBoardの記事は、おそらくHacking Teamの最大のパートナーの1つにあたる企業だとして、イスラエルのNICE Systemsを紹介している。NICEはイスラエル軍と密接な関係にある企業で(イスラエル国防軍の諜報部の元役員がCEOを務めている)、アゼルバイジャン、タイ、ブラジル、コロンビア、ホンジュラス、ウズベキスタン、フィンランド、デンマークなどの多彩な国々でガリレオの販促活動を展開していた。

100万点を超える暴露メールの公開

このように、イタリアの一企業で起きた情報漏洩事件は、市民に対するスパイウェアの販売における国際的な倫理の問題へと発展している。Hacking Teamから暴かれた情報は、多くの国の政府や企業が公にしてこなかった「不都合な真実」が詰め込まれている。同社から漏洩した100万点以上のメールデータがウィキリークスで公開されているが、膨大な量のため内容を大まかに追いかけることさえ困難な状況だ。

市民を監視するスパイウェアの売買を行っていた政府や企業の実態解明と共に気になるのが、

  • Hacking Teamが利用していた脆弱性とは、どのようなものだったのか
  • 私たちが使っているデバイスも、Hacking Teamの(あるいは類似した)スパイウェアに感染して監視される恐れがあるのか
  • Hacking Teamの手口をまねた犯罪者が、同じ脆弱性を悪用してわれわれに被害を与える可能性はあるのか

という点だ。また、

  • Hacking Teamを襲ったハッカーたちは何者だったのか
  • 彼らは何を目的としていたのか
  • 一流のセキュリティ企業であるはずの同社の守りが、なぜ破られたのか

という点もセキュリティ業界にとっては重要である。それらについては、次回以降にお伝えしたい。

→中編に続く




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…