暴かれた「Hacking Team」の実像 政府御用達『スパイウェア』製造企業はなぜ狙われたか(後編)

江添 佳代子

July 31, 2015 11:45
by 江添 佳代子

前編 / 中編

Hacking Teamは、その社名が示しているとおり、企業や個人から情報を盗むハッカーらと同じ働きをするソフトウェアを開発して、世界の政府機関に販売してきた。つまり彼らはサイバー攻撃のプロである。そのような企業がハッキングを受け、極秘データを大量に盗まれたという事実は、多くの人々を驚かせた。しかし、セキュリティ企業がサイバー攻撃の被害にあうこと自体は、それほど珍しくない。とりわけ近年では、そのような事件が頻繁に起きている。

狙われるセキュリティ企業

昨月(2015年6月)にも、Kaspersky Labが、自社のネットワークから発見された極めて洗練されたマルウェア『Duqu 2.0』」の情報を公開したばかりだ。最高水準の研究者チームを備えたKaspersky Labは、業界のリーダーとして知られる企業で、世界中の官庁や大企業を顧客としている。

Kasperskyは、前バージョン「Duqu 1.0」の発見と研究においても中心的な役割を果たした存在だった。その同社のネットワーク内にDuqu2.0が侵入したという皮肉な事実は、多くのセキュリティ関係者たちに衝撃を与えた。この事件の他にも、セキュリティ企業がサイバー攻撃の犠牲者となった例としては、RSA(2011年)やBit9(2013年)などの事件が挙げられる。

ちなみにKaspersky Labは、自社を襲ったマルウェアDuqu 2.0を「非常に複雑で」「ほとんど見えない」攻撃だと表現し、また、そのプロジェクトには「10万ドルか、それ以上のコストがかかっているのではないか」と語った。完成度の高さや費用の規模から考えるに、このマルウェアはStuxnetと同様の国家支援型マルウェア、つまり、いずれかの国の政府機関によって開発されたものだと多くの専門家は考えている。

ハクティビストの敵

今回のHacking Teamの侵入事件も、いずれかの政府のプロジェクトによるハッキング活動だったのではないかという意見もある。しかし、その可能性は低いと筆者は考えている。政府機関がリソースを投じ、大きな危険を冒して盗み出した貴重な情報を、わざわざ誰にでも見える場所に公開するというのは不自然だからだ。そもそもHacking Teamのような企業には、ハクティビストという非常に分かりやすい敵がいる。

スパイウェアを開発する企業は、もともとインターネットの倫理に関する議論を呼びやすい。とりわけHacking Teamは、独裁政権との繋がりを疑われていた(前編でもお伝えしたように、それは事実だったようなのだが)。そして、一部の国家機関がスパイウェアで監視したがる標的は、おそらく犯罪者やテロリストだけでなく、オンラインで人権活動を行う人々や政府に都合の悪い情報を伝える人々が含まれる。つまり、スパイウェア企業とハクティビストは敵対関係にある。そのスパイウェア企業が極秘扱いにしている情報は、自由なインターネット活動や人権を重んじるハクティビストたちにとって、まさに「暴くべき」情報だ。

英国メディア『The Register』は、Hacking Teamの事件を、2011年に発生したHBGary Federalの事件と比較した。Hacking Teamと同様に、政府機関を顧客とするセキュリティコンサルタント企業のHBGaryは、同社はAnonymousの怒りを買ったことにより攻撃され、壊滅的なダメージを受けた。

2011年、当時のHBGaryのCEOアーロン・バー氏はインタビューの中で、Anonymousのメンバーを追跡していることを堂々と宣言し、さらに彼らの名を明かすこともできると主張した。それを受けたAnonymousのメンバーたちはHBGaryに攻撃を仕掛けた。Anonymousの攻撃と言えばDoS攻撃が一般的だが、このときの彼らはHBGaryのサーバーを乗っ取り、そこから数千件のメールや文書を盗んでオンラインに晒している。

この情報漏洩により、「HBGaryは、WikiLeaksを貶めるためにジャーナリストたちを操り、WikiLeaks と支援者たちの評判を落とす計画を実行していた」など、複数の不都合な事実が判明した。厳しい批判に晒されたアーロン氏は、その後に控えていた2つのセキュリティカンファレンス(BSides、DEF CON)のプレゼンテーションをキャンセルせざるを得ない状況となったうえ、最終的には退任を余儀なくされている。

Hacking Teamにも、この事件と同様のことが起きているのではないか、と指摘する記事がThe Registerに掲載されたのは7月6日だった。そして、その記事の公開から数日後には、Hacking Teamから漏洩した文書が一斉にWikiLeaksで公開された。そのWebサイト上で、誰にでも読めるようになった大量の漏洩文書の中には、「Hacking Teamが顧客に代わり、WikiLeaksの妨害活動を行っていたこと」を示す情報も含まれている。

内部犯行の可能性も

また、Hacking Teamの元従業員による内部犯行の可能性も指摘されている。REUTERSは7月17日、この事件に近い情報源の話として、Hacking Teamの元従業員6人が取り調べを受けているというニュースを伝えた。この6人はもともと、同社の社外秘情報を漏洩した別の事件で取り調べを受けており、今回の事件でも容疑がかけられたという。

彼らが今回の情報漏洩事件に関わったのかどうか、現時点では判明していない。もしも内部犯行であったなら、その6人の目的は何だったのか、彼らはAnonymousやWikiLeaksと何らかの関係を持っていたのか。また、この先、彼らの行動が内部犯行と呼ばれるのか、あるいは内部告発と呼ばれることになるのかも気になるところだ。

いずれにせよ、この事件に関する新しい情報は刻一刻と増えている。各国政府とスパイウェアを扱う企業の繋がり、一般的なツールに潜むゼロデイ脆弱性の問題、そしてAnonymousやWikiLeaksと政府機関の対立など、広範囲の話題が次々と新たに提供され、それらは各方面に大きな影響を与えている。

最後に、Hacking Teamによるコメントを紹介しよう。7月22日、同社のサイトに掲載された声明文は、「我々はサイバー犯罪を受けた被害者である」「1つの違法行為を除けば、我々の活動は合法的なものだった」「我々の製品は武器ではない」ということを強調するものになっている。また「政府による犯罪との戦いを助けている企業を、まるで犯罪者のように報じ、その企業を攻撃した犯罪者を非難しないメディア」に対する失望なども綴られている。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…