ハッキング集団「ShadowBrokers」と沈黙のNSA (2) スノーデンも主張する「ロシア犯人説」

江添 佳代子

September 9, 2016 09:00
by 江添 佳代子

奇妙なタイミングでNSAのサイトがダウン

イクエーショングループの武器オークションの騒ぎが白熱する中、「おそらくは窃盗の被害者」という立場となったNSAの公式サイト「nsa.gov」では深刻な障害が発生していた。同ウェブサイトのページにアクセスすることができなくなり、「Service Unavailable」のエラー画面が表示されるという現象が起き、それは8月15日の夜から翌16日の夕方まで約18時間に渡って続いた。

セキュリティ研究者Kevin Beaumontのツイート


「もう報道機関が気づいているのかどうか知らないけど、NSAが昨日の夜、外部サービスのプラグを引っこ抜いたぞ」

セキュリティジャーナリストEric Gellerのツイート


「何かが起きている。いま http://nsa.gov の、ホームページ以外の全ページがアクセス不可能だ」

米FOXニュースは、それを「Shadow Brokersの声明が発表されたあとに」起きた出来事として興奮気味に伝えた(Fox Newsの報道、音が出るのでご注意)。また一部のニュースサイトでは「ハッカーがNSAのサイトをテイクダウンした」、「Shadow Brokersの声明が発表された数時間後にサイトがダウン」など、煽るような表現で報道された。

そして8月17日の午後、NSAはTwitterを通してサイトの復旧を告知すると共に、今回の問題が「15日に発生した嵐の影響」であったと伝えた。しかし、その原因説明を疑わしいと感じた人々も少なくなかったようだ。

Twitterのレス一例


「そのツイート、前の彼女がくれた『別れの手紙』と同じぐらい嘘くさいよ」

『The Register』の記事にも「犬が宿題を食べたんです」「嵐の次は日光か、月光か?」などの嘲笑的なコメントが寄せられた。しかしNSAのサイトがダウンしていた頃、NSAの本拠地のメリーランド周辺で嵐と大雨が発生していたことは事実であるため、決して有り得ない話だとも言えないだろう。

事の真相はともあれ、このアクセス障害のタイミングは「これ以上にないほど憶測を呼びやすいものだった」とZDNetは8月17日に記している

Shadow Brokersとは何者なのか?

このようにNSAは、ウェブサイトで発生したアクセス障害に関する案内こそ行ったものの、Shadow Brokersの一連の騒ぎに関しては相変わらずのノーコメントを貫いた。問題のオークションのページに示された盗品はNSAの極秘プログラムに関するものばかりで、さらにNSAが現在でもイクエーショングループとの繋がりを認めていないという点を考えれば、何を発言しようにも地雷だらけなので、沈黙するのは当然だとも言える。

そんな中、セキュリティ関係者たちの間で盛り上がったのは犯人捜しだ。突如として現れたShadow Brokersとは何者なのか? なにしろ今回の事件は、通常のハッキングのように米国政府が「容疑者」を特定して非難することができないため、その憶測は広がる一方だった。しかし真っ先に疑われるのは、やはりロシアということになるだろう。先日ここでお伝えした米民主党全国委員会(DNC)のサーバー侵入事件でも、米国は「諜報活動を目的としたロシア政府の仕業」と断定したばかりだ。

今回のニュースを読んだ一般読者たちは、「NSAの自作自演」「WikiLeaksの仕業」「ヒラリーの罠」など陰謀論めいた話題を含めて様々な憶測を語ったものの、多くの識者たちの見解は「ロシアなのか、そうではないのか」という論点へと向かった。

ロシア政府の攻撃であった可能性が最も高い、と主張した人物の一人に、あのエドワード・スノーデンがいる。彼は8月15日、当事件に関する長い意見をTwitterに連投した。その8番目のツイートで彼は次のように記している。「状況証拠と一般常識は、それが『ロシアの仕業』だと示唆している」

実は、このツイートをスノーデンが投稿したのは、以前にお伝えした「スノーデンのデッドマン装置起動説」が流れた直後だった。8月15日というのは、死亡説まで囁かれたスノーデンが10日ぶりに沈黙を守ってTwitterの活動を再開した日である。さらに「ロシアに亡命しているスノーデンが、ロシアを犯人に選んだ」という内容のきわどさもあってか、彼のツイートは普段にも増して注目され、数多くの大手メディアに転載された。

暗号界の重鎮ブルース・シュナイアーも、8月16日のブログで次のようにコメントした。「どこの国の政府が、このような行動を起こすだろうか? あからさまな(容疑者の)リストは短い。中国かロシアだ。もしも賭けをするのなら、私はロシアに賭けよう」

さらに8月17日の『The New York Times』は、Shadow Brokersの文章が「出来の悪いスパイ映画で見られるような怪しい英語であることも含めて」という冗談めいた解説をしつつ、「これはおそらくロシアによる心理作戦の類いだろう」との見解を示すコンピューター専門家、James A. Lewisのコメントを掲載した。

外部から盗むことは不可能だった?

その一方で「内部犯行説」を展開した報道機関もある。8月24日の『ロイター』の記事は、多くの人物が唱えている「ロシア説」の根拠は状況証拠ばかりだという点を指摘し、「ロシアには、そのようなファイルを公開するメリットが何もない」と論じたうえで、内部犯行が最も理にかなっていると説いた。ちなみに、この記事を書いたJames Bamfordは『Shadow Factory: The Ultra-Secret NSA From 9/11 to the Eavesdropping on America』という書籍の著者で、いわばNSAのエキスパートである。

『MOTHERBOARD』も8月17日の記事で内部犯行の可能性を示した。同紙の取材に答えた一人の元NSA職員は、「この事件がハッキングではないことを確信している。『Shadow Brokers』を名乗っているのは、内部にいる一人の従業員だ」と語った。その匿名の人物曰く、Shadow Brokersが示したファイルの一部はエアギャップされた環境に格納されているため、外部からのハッキングで盗み出すことは不可能であり、また他の一部のファイルは組織内からのアクセスしか許可されないようになっていたという(※)。

さらにMOTHERBOARDは、情報セキュリティ研究家Michael Adamsによる「これはスノーデン・ジュニアの犯行だ」という意見も掲載した。しかし同誌は、次のような文章で記事を締め括っている。「ロシアを犯人とする証拠がないのと全く同じように、内部犯行だと決めつける証拠もないという点を心に留めるべきだろう」「だが現在のところは、この2つの説が最も説得力があるように思われる」

MOTHERBOARDの言うとおり、「ロシア」「内部犯行」以外で説得力のありそうな説は見つけることはできなかったのだが、強いて挙げるならば、「国家機密に関わる業務を担ったロシア人であれば、Shadow Brokersが記したような酷い英語は書けない。これはいかにも『ふだん英語を使っていない中国あたりの人物』による文章だ」といった意見がちらほらと見られる。

確かにShadow Brokersの文章は強烈なブロークンイングリッシュだ。DNCハッキングの真犯人を名乗ったGUCCIFER 2.0の英語も不自然だったが、Shadow Brokersの文章は、それと比較してもはるかに辿々しく、わざとらしいほど不格好であるため、「アジアあたりの犯人」を仕立て上げようとしているようにも見える(日本語で喩えるなら、「わたしNSAハッキングしたアルね」といったところか)。しかし意図的だと決めつけるには面白すぎるような表現もある。たとえば「that feature is not known to normal people」という一文だ。「一般の人々」を「ordinary people」や「the general public」ではなく「normal people(常軌を逸していない人々)」と表現するような拙さを故意に演出するのは難しいかもしれない。

実は、この点について真面目に研究した学者もいる。イリノイ工科大学のコンピューターサイエンスの教授Shlomo Argamonは、Shadow Brokersの文章について「多種多様な文法ミスがあるのに、いずれも首尾一貫していない」という点に注目した。彼は、それらの傾向を列挙したうえで「米国英語の話者が意図的に作り出した文章である可能性が高い」という面白い結論を導き出している

しかし、いずれも憶測に過ぎない。いま言えるのは、スノーデンですら状況証拠と常識に頼らなければならないほど犯人の特定が困難だということ、そして英語圏の多くの大手メディアは現在、犯人を断定しないまま「たぶんロシアなのでは」「あるいは内部犯行かも」といった口調で事件を報じているということだ。

「ひょっとしたら、スノーデンがNSAから機密文書と一緒に持ち出したのでは?」という大胆な推理をした方が筆者以外にもいるかもしれないので、念のために補足しておこう。先に示した8月24日のロイターの記事によれば、Shadow Brokersが提示したファイルの最も新しいタイムスタンプは「2013年10月」の日付を示している。スノーデンが機密文書と共にNSAを去ったのは2013年5月。退職後、すぐに香港へ飛んだ彼は米国に戻れぬ身となったので、彼がそのファイルを持ち出すことは物理的に不可能だ。
 
(第3回に続く)
 
※この元職員の説明が本当であるなら、内部犯行説は覆しがたいようにも思われる。しかし「エアギャップされていたはずのデータ」が人的ミスでオンラインに繋がってしまう事故は珍しくない。また、それらのデータを狙う手段として様々なソーシャルエンジニアリング的手法が用いられる可能性も大いに考えられる。この情報提供者と同様にNSAの元職員だったスノーデンは、「NSAのハッカー(TAO)はサーバーにハッキングツールを残さないよう指示されている。しかし人間とは怠惰になってしまうものだ」とツイッターで語っている




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…