ハッキング集団「ShadowBrokers」と沈黙のNSA (5) 全てはロシアのシナリオ通り?

江添 佳代子

September 14, 2016 08:00
by 江添 佳代子

前回は、Shadow Brokersが公開したファイルによって発見された複数の脆弱性について説明した。特にエクスプロイト「EXTRABACON」が標的とするCiscoのファイアウォール製品に存在していたゼロデイが深刻だったことや、その対応にCiscoが追われたことはお伝えした通りだ。

せっかくのパッチが適用されていない?

しかし、犯罪者よりも先に脆弱性に対処し、自社製品(とりわけ比較的新しいバージョンのASA)の顧客を守るために奮闘したCiscoの努力も、顧客がパッチを適用しなければ意味がない。この点に注目したのが、セキュリティ企業Rapid 7のDerek AbdineとBob Rudisだった

彼らはRapid 7のブログの中で、まずEXTRABACONのエクスプロイトの複雑さを説明している。この攻撃を実行するためには様々な条件をクリアしなければならないため、全てのASA製品のユーザーが深刻な危険に晒されているわけではないと前置きしたのち、次のように述べた。

「とはいえEXTRABACONの脆弱性は、コアネットワークのセキュリティ基盤のデバイスにおける極めて致命的な脆弱性であり、またCiscoが発表したパッチは(通常の環境であれば)簡単かつ安全にあてられるものだ。ほとんどの組織は、このパッチの入手とテストを行い次第、すぐにでも適用するのが賢明である」
「このエクスプロイト(EXTRABACON)が公開されたことに対して、Ciscoは賞賛に値する取り組みで(顧客の)組織が適用できるパッチを用意した。そして我々Rapid7 Labは、『現在、外部に接しているCisco ASAデバイス』と、『それらのデバイスのうち、どれほどの数がパッチを適用していないのか』の両方を確認できるかどうかを知りたいと考えた」

そして彼らは「Project Sonar」(外部に接しているIPアドレスを調査するRapid 7のプロジェクト)を活用した調査に乗り出した。まずRapid 7は前回のスキャンの際に、5万台以上のCisco ASA SSL VPNデバイスを発見していた。同社は、これらのデバイスが「最後にリブートされた時間」に注目した。なぜなら、使用しているデバイスにパッチを適用した際には再起動を行う必要がある。つまりパッチの配布日以降、最終リブートのタイムスタンプが一度も更新されていない場合、そのデバイスにはパッチが当てられていないことが分かる。

Rapid 7が確認していた約5万台のデバイスのうち、1万2000台からはタイムスタンプを取得することができなかった。しかし残りの3万8000台のうち1万97台(26%)は8月29日から12日以内に再起動が行われていることが分かった。それらはパッチを当てた可能性が高い。しかし残りの2万8000台(74%)にはパッチが適用されていなかった、ということになる。

この調査報告のページには、Rapid 7が把握している組織のうち「10台以上のVPN ASAデバイスを導入している世界の15組織」を挙げたリストが掲載されている。その筆頭に挙げられているのは、55台のデバイスを利用している日本の大手通信プロバイダ(社名は非公開)だが、その企業は過去33日間、リブートを行っていないと報告された。

しかし、その日本企業だけが特に怠慢だったわけではない。15組織のうち、パッチの適用が済んでいた可能性が高いのは2組織のみ(ベトナムの大手金融企業、スイスの大手テクノロジー企業)だけだった。たとえば23台のデバイスを利用している米国の大手テクノロジー企業も27日間、20台のデバイスを利用している米国のヘルスケア企業は47日間もリブートをしていないことが記されている。

意図的に報告されなかった脆弱性

一般的に利用されているツールから深刻な脆弱性が発見されたとき、それを悪用しようとする者は、「ベンダーがパッチを発行する前に、あるいは発行されたパッチをユーザーが当てる前に」攻撃を成功させようと試みる。それを阻止するためには、配布されたパッチをできる限り早く適用するのが大原則だ。とはいえ今回の事件で非難されるべきは、製品のパッチングが遅れた顧客ではないだろう。

今回、Shadow Brokersのファイルからは、ファイアウォールを攻撃する15種のエクスプロイトが発見された。そしてセキュリティ研究者たちは、それらの一部の実証にも成功している。充分なスキルを持ったサイバー犯罪者なら、その技術を悪用できる可能性があった。そんな状況下、ベンダー(特にCisco)が大慌てで大量の問題と向き合わなければならなくなったのは、それらの脆弱性が「報告されることなく隠されていたから」だ。

Cyber Statecraft Initiativeの大西洋評議会のディレクターであり、サイバーセキュリティに関する数々の書物の著者でもあるジェイソン・ヒーリーは、自身のTwitterアカウントで次のように苦言を呈した。


「驚き、失望している。NSAは何年も前からCisco製品のゼロデイを自分のアーセナル(武器庫)にしまい込んでいた。それは、ホワイトハウスが発表したあらゆるルールに反しているのではないか」(8月17日)

このヒーリーのツイートには、ホワイトハウスが2014年4月28日に掲載したブログ記事へのリンクが貼られている。

このブログ記事は、2014年に大混乱に巻き起こしたOpenSSLの脆弱性「Heartbleed」とNSAとの関係を説明したものだった。「No Such Agency(そんな機関はない)とさえ呼ばれていたNSAが、Heartbleedに関する発言をしたのは珍しいことである」「しかし、それは『NSAがどのように任務を果たすか』を巡った議論を適切に知らせるという彼らの取り組みと矛盾していない」「我々は脆弱性の公開に関して、規律的な、厳格で高レベルな意思決定のプロセスを確立している」という説明の後、次のように語られている。

「『サイバーセキュリティ』と『インテリジェンス』が交差する場所に透明性をもたらし、充分な情報公開を行うのは複雑なことだ。あまりに不透明だと、市民は政府や機関への信頼を損ないかねない。しかし、あまりに多くを公開すれば、我々が国防のために必要とするインテリジェンスを収集できなくなる。この点に関して我々は、『責任を持って脆弱性を明らかにする方向へと向けられた意図的なプロセス』を通して熟慮しており、また、その(脆弱性の)リストを共有することによって、すべての人に『何が危険なのか』を理解してほしいと望んでいる」
「『その重要な問題に関して、政府は責任を持って行動している』という確信が、この記事によって(市民の)皆さんにもたらされることを私は願っている」

しかしShadow Brokersのオークション事件の顛末が示しているのは、NSAが「意図的なプロセス」に反して、「全ての市民に理解してほしい重要な脆弱性の情報」を共有していなかったという事実だ。それはホワイトハウスが記したとおり、政府や機関に対する市民の信頼を損ねかねない問題である。

ただし、これらの脆弱性を「米国政府が隠した」と表現することには少々違和感を覚える。Heartbleed以降、なるべく情報共有を行う方向へと舵を取ってきたホワイトハウスに対して、NSAが独自の判断で情報を隠してきた可能性もあるからだ。

たとえば今年4月末には、iPhoneのロックを解除する技術を入手したFBIが、ホワイトハウスの命令に逆らう形で「この手法をAppleには開示しない」と表明したばかりである。NSAが同様の判断をしたとしても何ら不思議ではない。とはいえNSAが米国の政府機関である以上、今回の事件で「米国が脆弱性を隠した」と誹られることは避けられない。それは国際的な非難の種ともなりえるだろう。

ロシアの思惑どおりか?

ここで思い出していただきたいのは、本連載の第2回、3回で取り上げた「Shadow Brokersの正体と目的」だ。エドワード・スノーデンは、この事件を起こしたのはロシア政府である可能性が高いと推理したうえで、その目的について「インテリジェンスよりも外交」を重視した行動ではないかと語っていた。

もしも彼の推理が当たっているのなら、事態はまさしくロシアの望んだ通りに転がっているのかもしれない。Shadow Brokersのオークション事件は、米国にとって屈辱的だっただけでなく、「あえて脆弱性を報告せず、それを自らの諜報活動に利用することを選び、世界中の市民や組織のセキュリティ基盤を3年以上も危険に晒してきた米国」という印象を植え付けたからだ。

筆者の見解を述べるなら、この件によって米国だけがセキュリティの敵であるかのように非難されるのはフェアではないと感じる。イタリアの「Hacking Team」漏洩事件でも証明されたように、世界中のスパイウェア企業は、脆弱性を独り占めすることによってシギント活動のツールを開発している。それらは独裁政権の国々が反政府的な発言をする市民を割り出し、投獄する際にも用いられてきた。デジタル盗聴の最先端においては、よくある話だ。

しかし「米国の政府機関には、スパイウェア企業と同程度のモラルしかない」と思われるのは対外的によろしくない。そして米国には無数のIT企業やセキュリティ企業が存在している(※)。世界中に顧客を抱える彼らが経済活動を行っているのは「インターネット空間」だ。その安全性をわざわざ米国政府が損ねたという話になれば、国内企業からの不満も噴出しかねない。その問題はシリコンバレーと政府の対立を深めるだけでなく、多くのIT企業に支えられている米国の経済にも影響を及ぼす可能性がある。

さらに、もう一つ重要なことがある。今年6月に報じられたDNC(米民主党全国委員会)のハッキング事件を「ロシア政府による犯行」と断定した米国政府は、事実無根だと反論するロシアを無視して現在でも同国を非難している。しかし、ロシアからのサイバー攻撃を声高に批判している米国自身が、イクエーショングループとの繋がりを認めていない(Stuxnetの開発も認めていない)ために、今回のShadow Brokersの事件に関して何も発言できない立場に陥っているというのは、気まずい状況だ。もしもShadow Brokersのオークションが、ロシアから米国に向けられた牽制球であったなら、それは一定の成果をあげている。

さらに万が一、今回の事件が「内部犯行」だと判明するような結果になれば、その効果は絶大だ。これまでShadow Brokersをロシア政府のハッカー集団だと信じてきた多くの人々が、「我々は先入観に囚われていたかもしれない」「ひょっとするとDNCのハッキング犯も、ロシアではなかったのでは?」と考え始める可能性がある。

Shadow Brokersのオークション事件はハッキングではなく内部犯行であると説いた人々は、その根拠として「ロシアには、そのようなファイルを公開するメリットが何もないから」と主張していた。しかし実際のところ、誰がどんな目的でイクエーショングループから情報を漏洩させたにせよ、この状況を最も愉快な気分で眺めているのはロシア政府の関係者なのかもしれない。
 
(その6に続く)
 
※前回に紹介した「イクエーショングループのエクスプロイトに狙われていたファイアウォール製品のベンダー」のうちCisco、Fortinet、Juniper、WatchGuard(つまり中国企業のTopsec以外の全て)は米国企業だ。つまりNSAは、米国製品に存在する脆弱性を利用してきたということになる。そしてイクエーショングループの発見者であり名付け親でもあるカスペルスキーは、もちろんロシアのセキュリティ企業である。




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

ロシア下院が「VPNやプロキシを禁じる新しい法案」を採択

July 26, 2017 08:00

by 江添 佳代子

ロシア連邦議会下院は2017年7月21日、市民のインターネット利用を制限するための法案を全会一致で採択した。 これはロシアでのVPNやプロキシなどの利用を非合法化する法になると伝えられている。この採択を受け、モスクワでは2000人以上の市民が「インターネットの自由」や「ロシア当局によるオンライン監視…

中国北京市に大量の偽携帯基地局が存在する理由

July 25, 2017 08:00

by 牧野武文

以前、偽の携帯電話基地局から大量の広告ショートメッセージ(SMS)を発信した事件をお伝えした。その際、偽携帯基地局からのSMSは、発信元の電話番号を自由に偽装できるため、受信者側では本物のSMSなのか、偽物なのかの見分けがつかないという危険性を指摘した。案の定、中国で、偽携帯基地局から発信したSMS…