パナマ文書の衝撃(1)モサック・フォンセカの内部システムに脆弱性?

江添 佳代子

April 21, 2016 15:00
by 江添 佳代子

パナマの法律事務所「モサック・フォンセカ」(Mossack Fonseca)から流出した、企業の租税回避に関する大量の機密文書、いわゆるパナマ文書(Panama Papers)が世界を震撼させている。本稿では当事件を、政治的な切り口ではなく「史上最大のデータ流出事件は、なぜ防げなかったのか」という側面から掘り下げていきたい。

大流出の経緯と概要

もともとパナマ文書は、「John Doe」(名無しの権兵衛の意)を名乗る人物が2015年、ドイツの新聞社『Suddeutsche Zeitung』に提供した大量の機密データだった。情報の譲渡を申し出た際、その匿名の人物は「自分の生命が危険に晒されている」と語り、暗号化された形で連絡を取る、決して面会は行わないなど、自身の匿名性を強固に守るための条件を求めた。ちなみに彼は、情報提供の目的について「この犯罪行為を公にしたいから」と説明している(参考資料:ABC Netが報じたJohn DoeとSuddeutsche Zeitungの通信内容)。

John Doeによって譲渡された情報はあまりにも膨大だったため、Suddeutsche ZeitungはICIJ(国際調査報道ジャーナリスト連合)に調査の協力を求めた。その結果、データは80ヵ国のジャーナリスト約400人に配布され、分析されたのち、2016年4月3日に「パナマ文書」として公開されることとなった。漏洩した文書の総数は1150万点、そのデータ量は計2.6テラバイトに及ぶことが判明しているが、4月3日時点で公開された文書は149点、つまり全文書の0.001%ほどだ。完全なリストは今年5月に公開されるものと考えられているが、「すべてが公開される予定はない」との説もある。

パナマ文書に記載されていたのは、オフショア金融を利用する21万4000社の詳細な機密情報だった。しかし、この文書が注目されている理由は「世界中の企業が、合法性を問われる手法で巨額の資産を隠したり、租税を回避したりしていたから」ではない。むしろ問題視されたのは、多くの国々の政府関係者(そこには現首相・現大統領も含まれている)や彼らの親族、および国際的に著名なセレブリティなどが、それらの企業と密接に繋がっていたという点、あるいはそれらの企業を彼らが直接的に運営していたという点だった。

「漏れたのではない。ハッキングだ」

この流出事件は、情報の内容が極めてスキャンダラスであることで注目を集めているが、その情報量の多さも「ジャーナリズム史上における最大の流出」だと言われている。もちろんサイバーインシデント史上でも「2.6 TB」という流出データ量は桁違いだ。ちなみに今回の事件が起こるまで、サイバー攻撃による流出データ量の最高記録はSony Picturesのインシデントで奪われた「230GB」だったと考えられている。

この膨大な情報は、どのようにして抜き取られたのだろうか? データの量と機密性の高さを考慮するなら、おそらく真っ先に疑われるのは内部犯行の可能性だろう。しかし現在のところ、その可能性は薄いのではないかと考えられている。まずはデータの流出元、モサック・フォンセカの動きに目を向けてみよう。

同社は4月1日、つまりパナマ文書が公開される2日前の時点で、自社のクライアントに向けて「なんらかのインシデントが発生していること」を既にほのめかしていた。WikiLeaksがTwitterで提供したキャプチャ画面によれば、その文面の冒頭には次のように記されている。

親愛なるクライアントの皆様へ
 我々が現在、専門家たちと共に徹底的な内部調査を行っていることをお知らせします。残念ながら現在、我々のメールサーバーが不正な侵害を受けてきたことを、その専門家たちは確認しています。

つまり彼らはパナマ文書が公になる前から、メールサーバーに受けた不正なアクセスを確認していたということになる。そして文書が公開された後も、同社は一貫して「外部からの不正アクセスを受けた」と主張しつづけている。たとえばロイターが4月3日に報じた記事の中で、同社は次のようにコメントした。「内部犯行ではない。(データが)漏れ出したのではない。ハッキングである」「すでに我々は、関連する司法当局に被害の訴えを済ませている」「我々のビジネスは法を犯していない。(今回の件で)『犯罪』であることが明確なのは、そのハッキングだけだ」

さらにモサック・フォンセカは、そのハッキングについて「我々は一つの仮説を立てており、それを突き止めようとしている」とも語った。たいへん気になる話題だが、その「仮説」については何も説明もされていない。ともあれ、同社はパナマ文書が公になる前から内部犯行への嫌疑を捨てた調査をしており、それを裏付けるような行動も実際に起こしてきた。これらのすべてが、スタッフの不祥事を隠すための芝居だったとは考えにくい。

原因はWordPressとプラグインの運営状況?

パナマ文書の流出経路に関しては、これまでにも様々な憶測が飛び交ったが、現在のところはモサック・フォンセカが主張したとおり「何者かがメールサーバーを外部から侵害し、機密データを奪った」という説が有力視されている。ここで気になるのは、その人物がどのようにして侵害行為を成功させたのかという点だ。

英国のITメディア『The Register』は4月7日、同社の情報流出について「『モサック・フォンセカにおけるCMSの運用の怠慢が原因だった可能性』が、どんどん濃厚になっている」と指摘した。その理由について少し詳しく説明していきたい。

モサック・フォンセカには主に2つのウェブサイトがある。ひとつは一般の閲覧者が閲覧するためのメインサイトで、こちらは「WordPress」で運営されている。もうひとつの顧客用ポータルサイトは「Drupal」で運用されており、ここではログインした顧客がモサック・フォンセカと機微情報を共有している。同社は、これらの「両方の」サイトでCMSのアップデートを行っていなかったために、複数の深刻なセキュリティホールを残したままだったという。

WordPressは、日本の企業や個人ユーザーも広く一般的に利用しているCMSだ。その管理画面で、ほぼ毎日のように何かしらのアップデートを促されているという方も少なくないだろう。しかし複数のメディアの報道によれば、モサック・フォンセカのメインサイトは3ヵ月前のバージョンのWordPressを利用していた。さらに、サイトのデザインをシンプルするプラグインとして非常に人気の高い「Revolution Slider」も、パッチを当てていない状態のまま利用していたという。Revolution Sliderの名を聞いて「SoakSoak」のことを思い出すという方もいるだろう。一昨年から昨年ごろにかけて大流行したマルウェア SoakSoakも、同じスライダーの更新を怠っているWordPressユーザーを狙い、バックドアを仕掛けるものだった。

モサック・フォンセカが利用していたバージョンのRevolution Sliderの脆弱性については、WordPressのセキュリティ対策用プラグインを提供しているWordfenceが、4月7日のブログで詳しく説明している。彼らの説明によれば、バージョン3.0.95以前のRevolution Sliderには、PHPソースコードの含まれたファイルを「誰でも」不正にアップロードできるという深刻な脆弱性があった。そしてモサック・フォンセカが利用していたRevolution Sliderのバージョンは、3.0.95よりもさらに古い2.1.7だった。

さらにWordfenceは、モサック・フォンセカのメールサーバーが、WordPressのサーバーと同じIPアドレスでホストされていたことも確認している。つまり、このプラグインの脆弱性を悪用して攻撃した攻撃者は、ウェブサーバーに管理者権限でアクセスし、wp-config.phpに平文で書かれている内容を閲覧できた可能性がある。それがメールサーバーからデータを流出させた攻撃ベクトルだった、という仮説は充分に成り立つだろう。

(その2に続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…