暴かれた「Hacking Team」の実像 政府御用達『スパイウェア』製造企業はなぜ狙われたか(中編)

江添 佳代子

July 30, 2015 11:30
by 江添 佳代子

前編はこちら

Hacking Teamが販売していた市民監視用のスパイウェアRCS(製品名「ガリレオ」)の機能は、同社の情報が漏洩する前からセキュリティ業界では何度も議論の対象となってきた。前回紹介した『The Intercept』の報道も、その一例だ。

実は、Hacking Teamの公式サイトには、最新のガリレオを紹介するPDFが堂々とアップロードされている。「民主主義国家で犯罪捜査を行う政府機関」に向けて販売していたはずの商品を、なぜ世界に向けて大々的にPRしているのかという点も不可解なところだ。そのPDFに掲載されている宣伝文には、以下のようなことが記されている。

  • あなたにとって必要なのは、暗号化されているかどうかに関わらず、どのようなデバイスからでも関連データを集める方法、たとえ標的があなたの監視領域の外にいても彼らの監視を続ける方法です
  • RCSはまさにそれを行うものです
  • 暗号化や場所にとらわれることなく、あなたの標的を制御し、彼らを監視してください
  • 追跡するのがAndroidの携帯電話か、あるいはWindows PCか、そのようなことは重要ではありません。あなたは全てのデバイスを監視することができます
  • 最先端の感染方法で、あなたの標的をハッキングしてください。RCS:政府による傍受のためのハッキング・スイート

ガリレオが利用していた脆弱性

このように、ガリレオの機能は表向きの資料からでも知ることができる。しかし、どのようにしてガリレオがターゲットのデバイスに忍び込むのか、つまり「どんな脆弱性を利用してデバイスに侵入するのか」は、もちろん企業機密だった。

おそらくHacking Teamは、アンダーグラウンドのマーケットで、最新のゼロデイ脆弱性(まだ公に知られていない未対処の脆弱性)の情報を購入し、それを狙ってエクスプロイトを仕掛けるスパイウェアを作っていたのだろう。もちろん、彼らが独自にゼロデイを発見していた可能性もある。しかしガリレオは「全てのデバイスを監視できる」と豪語してきたのだ。世界中の誰もが利用する一般的なツールの数々(ソフトウェア、ことによってはハードウェア)の、ディベロッパーすら認知していない欠陥を、たった一社の研究チームがすべて自力で見出したというのは、少々無理があるように思われる。

そして今回の事件で同社のソースコードが暴露されたことにより、ついに「ガリレオがどんな脆弱性を利用していたのか」を解析できるようになった。そこには間違いなく、様々なゼロデイ脆弱性の情報が含まれているはずだ。それが悪用されれば、犯罪者たちはオンライン詐欺や産業スパイ、あるいはカード情報の収集などを行うマルウェアを、一般ユーザーのデバイスに送り込むことが容易となる。そのような悪事を防ぐためには、400ギガバイト分のジャンクなデータの山から、ゼロデイに関する情報を一刻も早く見つけ出し、それを修復しなければならない。

流出情報から明らかになった「Flash Player」の脆弱性

セキュリティ研究者たちは、先を争うようにして流出データの解析を開始した。いくつかのソフトウェアに関する報告が飛び交う中で、彼らが最初にはっきりと確認したのは、「Adobe Flash Player」の深刻な脆弱性だった。トレンドマイクロは7月7日のブログで、この新たに発見された脆弱性の詳細な情報を掲載している。

報告を受けたAdobeは、その脆弱性(CVE-2015-5119)に関するアドバイザリを即座に掲載した。そこに記された説明の一部を紹介しよう。

  • この重大な脆弱性は、Windows、Macintosh、Linux用のAdobe Flash Player 18.0.0.194、およびそれ以前のバージョンに影響する
  • ・エクスプロイトに成功した場合はクラッシュが発生し、攻撃者が標的のシステムを制御できるようになる可能性がある

Adobeは脆弱性の深刻性を4段階に分けているが、言うまでもなく、この脆弱性は最高ランク(critical)に格付けされた。そして翌日7月8日には、この脆弱性を修復したAdobe Flash Player 18.0.0.203が利用可能となった。しかし7月10日には、セキュリティ企業のFireEyeが、同じ流出データの中から、Adobe Flash Playerの第2のゼロデイ脆弱性を発見した。

Adobeはすぐさま、その脆弱性(CVE-2015-5122、CVE-2015-5123/前回と同様、深刻度はCritical)をアドバイザリで報告したが、修復には日数がかかり、すべての問題が解決されたバージョン18.0.0.209がリリースされたのは7月16日だった。それがリリースされるまでの間、各種ブラウザーは一時的にAdobe Flash Playerの利用を止めるバージョンを提供する準備などの対応に追われた。

流出データの解析は現在も続いているため、このような情報は今後も増えるだろう。「すべてのデバイスを監視できる」ガリレオが、複数のゼロデイを利用していたのは間違いない。なお、上記のAdobe Flash Playerの脆弱性は、Internet Explorer、Safari、FireFox、Chromeに影響するため、ほとんどのインターネットユーザーが対象となる。Adobe Flash Playerの更新を行っていないという方には、いますぐ最新版をダウンロードすることを強くお勧めしたい。
(追記:7月20日、問題の漏洩文書から新たに発見された「Microsoft Font Driverのゼロデイ脆弱性」に関する発表が行われた。それは遠隔コードの実行を可能とする恐れのある深刻な脆弱性で、すでにMicrosoftは修復を済ませている)

素早い反応を示すサイバー犯罪者たち

研究者や開発者たちの努力により、Hacking Teamが利用していたゼロデイは着々と修復されている。だが、それが犯罪者による悪用を未然に防ぎきれているとは言いがたい。たとえば『PC World』は7月8日早朝、複数の商用エクスプロイトキット(脆弱性を利用してサイバー攻撃を行う犯罪者のために販売されているツール)が、すでにCVE-2015-5119を組み込んだようだと報じた。この記事の中で名前を挙げられたキットはAngler、Neutrino、Nuclear Packの3種だった。それらを素早く利用した犯罪者たちは、Adobeが最初の修復をする前に、あるいはユーザーがアップデートをする前に、滑り込むようにしてエクスプロイトに成功した可能性が高い。

ゼロデイの修正に励む開発者たちがいる一方で、犯罪者たちは脆弱性が修復される前に悪用しようと勤しんでいる。このような一刻を争う戦い行われているのは、そもそも脆弱性を発見した者がそれを開発者に報告せず、私欲のために販売・利用しているためである。Hacking Teamは、その脆弱性を利用したツールを作りあげ、犯罪捜査のためという触れ込みで、実際には独裁政権が反社会的な市民を監視するためにも使える商品として販売してきたようだ。そして最終的には自らがハッキングを受け、情報を流出させ、彼らの利用していた脆弱性が犯罪者たちに悪用される自体を招くことになった。この騒動は現在、我々の通信をも危険に晒している。

→後編に続く

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…