システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)
企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。
November 14, 2016 10:30
by 『The Hacker News』
「The Shadow Brokers」と名乗るハッカーグループがNSAのハッキングツールとエクスプロイトの一部をリークさせた。そのShadow Brokersが、またしても衝撃的な情報をもたらした。
10月30日、The Shadow Brokersがさらなるファイルを公開した。しかも今回は、NSAが関与するハッキングユニットEquation Groupが諜報活動を拡大するために様々な国で侵入したとされる海外のサーバーのリストが暴露されたのだ。
専門家は、公開されたデータ(ダウンロードはこちら パスワード:payus)には少なくとも49ヵ国に属する306件のドメイン名や352件のIPアドレスが含まれると見ている。そのうち32件が中国や台湾の教育機関が管理するものであった。
標的となったドメインのうち数件はロシアのものだった。また、少なくとも9件の政府系ドメインのウェブサイトが含まれていた。
標的となった上位10ヵ国は中国、日本、韓国、スペイン、ドイツ、インド、台湾、メキシコ、イタリア、ロシアだ。
この公開データはShadow BrokersによるNSAのエクスプロイトに関する最初の暴露と同じキーで署名されている。ただし、リークデータの内容が正しいかを確認するのは容易ではない。
関係するサーバーの大部分が、オラクルのUNIXベースのオペレーティングシステムSolarisを実行していた。しかしFreeBSDやLinuxを実行していたものもあった。
感染したサーバーは、INTONATIONや PITCHIMPAIRというコードネームで呼ばれるサイバースパイ用ハッキングプログラムのターゲットであったとされている。
また今回の公開データには、前回未公表であったEquation Groupのツール、Dewdrop、Incision、Orangutan、Jackladder、Reticulum、Patchicillin、Sidetrack、Stoicsurgeonなどのリストに言及したものも含まれていた。
上記のツールは、NSAの悪名高いグループが使用するハッキングのインプラントやツール、エクスプロイトである可能性もある。
セキュリティ研究者で 、ハッキング集団LulzsecとAnonymousの元メンバーである Mustafa Al-Bassam氏は、恐らくNSAは2000年から2010年の間にこの全てのサーバーに侵入したのだろうと話している。
「NSAでさえも、中国やロシアの感染したサーバーからマシンをハックしている。だからハッキング元の特定は難しいのだ」と Al-Bassam氏は付け加えた。
データと共に公開されたメッセージでは、今度の米大統領選挙を妨害しようとする企てを呼びかけている。Shadow Brokersからのメッセージの一部は以下の通りである。
「ShadowBrokersから提案がある。11月8日に投票をしないのではなく、皆で投票を阻止してはどうだろう。選挙を止めさせるための嫌がらせをするのもいい。選挙をハックするなんて最高のアイディアじゃないか?#hackelection2016」
標的となった被害者にとっては、自らがNSAが関与するハッキングユニットの潜在的な標的かどうかを調べるために、公開されたファイルが役立つだろう。
記録が古いため、多数のサーバーで感染が駆除されているに違いない。しかしこれらのドメインをShodanで簡単にスキャンしたところ、被害を受けたサーバーの一部は未だにアクティブで、古いまま動いており、脆弱なシステムである可能性があると示されている。
今回の情報が公開されたのは、FBIがHarold Thomas Martinを逮捕したより後だ。彼はNSAの契約職員で、The Shadow Brokersの事件の最重要容疑者だと報じられていた。
原文:Shadow Brokers reveals list of Servers Hacked by the NSA
※本記事は『HackerNews』の許諾のもと日本向けに翻訳・編集したものです。