底知れぬ「Shadow Brokers」 (1) Equation Groupの未公開ファイル再流出

江添 佳代子

December 5, 2016 08:00
by 江添 佳代子

「Shadow Brokers」を名乗るグループが、米国のNSAだと考えられているサイバー攻撃団体「The Equation Group(イクエーショングループ)」から攻撃ツールを盗み出し、その一部をオンラインに公開した事件については、以前にもTHE ZERO/ONEで詳しくお伝えした

そのShadow Brokersが先日、「イクエーショングループの未公開のファイル」を再びオンラインで公開した。そのデータに記されていた様々な国のサーバー名は、「過去にNSAが諜報活動を拡大するために侵入したサーバーのリスト」だと考えられており、そこには日本の組織も複数含まれていた。今回の連載では、この「Shadow Brokersによる新しい漏洩事件」についてお伝えしたい。

Shadow Brokersとは?

この事件の背景はかなり複雑だ。まずは主な登場団体を紹介し、これまでの出来事について簡単に説明しよう。

Shadow Brokers:突如として現れた無名のサイバー攻撃グループ。「イクエーショングループをハッキングし、彼らの武器である攻撃ツールを盗み出した」と主張。その盗品をオークションで販売すると発表した。

イクエーショングループ:世界で最も洗練された攻撃グループのひとつ。30ヵ国以上の様々な組織に対して高度なサイバー攻撃を仕掛けており、Stuxnetにも深く関与したと言われている。その実体は米国のNSA(またはNSAの関連グループ)と広く信じられているが、米国(およびNSA)はそれを認めていない。

NSA:米国家安全保障局(National Security Agency)。米国のデジタル諜報機関。一昔前までは「No Such Agency(そんな機関はない)と呼ばれる秘密組織だった。2013年、元契約職員のエドワード・スノーデンが極秘ファイルを大量に持ち出し、「世界のユーザー全体を対象とした、NSAの無差別な大量監視システム」の実態を告発。その内容は世界中に大きな衝撃を与えた。

Shadow Brokersは今年8月、「オークションの出品物のサンプル」として、盗品のコードの一部をオンラインに一般公開した。検証の結果、それらのファイルは「本当にNSAから盗まれたもの」である可能性が極めて高いということが判明する。

この「サンプル」の公開により、イクエーショングループが攻撃に用いてきた様々な脆弱性が発覚した。これらはNSAが諜報活動で利用するため、あえてベンダーには報告しなかった欠陥だったと考えられる。これらの中には、「EXTRABACON(米Ciscoの製品を狙った攻撃)」が悪用するゼロデイも含まれていた。このエクスプロイトは新しいCisco製品も影響を受けるため、同社は大慌てで修復の作業に当たることとなった

スノーデンを含めた多くの関係者やセキュリティ研究者たちは、Shadow Brokersの正体が「ロシア(ロシア政府)のハッカーグループだろう」と推測している。その犯行目的について、Shadow Brokers自身は「金銭目的」と説明しているが、多くの関係者は「何らかの威嚇を目的とした外交的なハッキング」ではないかと考えている

一方の米国当局者は7月、「ロシアが米国の大統領選挙・政治制度・諜報・議会に対する不信感を米国の市民に植え付けるため、広範なサイバー作戦を行っている」という疑いに基づき、詳しい調査を開始したと発表した。もともと米国当局は、DNCのハッキング事件をロシアの犯行と断定していたが、それを「より大規模な作戦の一部」と見なして捜査する方向へと切り替えた。

それは暗に「DNCもNSAも、同じ作戦の一環としてハッキングされたものと我々は考えている」という宣言のように感じられるが、その発表の中でShadow Brokersの名が語られることはなかった。米国政府がイクエーショングループとの関係をはっきりと認めていない以上、本件について公にコメントすることは難しいだろう。

この話題について詳しく知りたい方には、今年9月にTHE ZERO/ONEに掲載した全6回の連載「ハッキング集団『ShadowBrokers』と沈黙のNSA 」、および今年7月に掲載した「ロシアの諜報活動? 米国の陰謀論? 謎が謎を呼ぶ『米民主党全国委員会』侵入事件(前編後編)」をご一読いただきたい。

新たに公開されたリスト

そして2016年10月30日、Shadow Brokersはこれまでに公開していなかったイクエーショングループのファイルを追加でオンライン上に公開した。この新たな情報公開に関するメッセージはMediumに投稿されたもので、のちにTwitterでも告知された。

Mediumといえば、「SNSから切り離されたくはないが、良質なコンテンツとしての文章も読んでほしい人々に愛用されている、(どちらかといえば真面目な)次世代ブログのプラットフォーム」というイメージをお持ちの方もいるだろう。国際的なサイバー犯罪に携わるShadow Brokersが、そのMediumを選んだというのは不釣り合いにも感じられる。しかし、あらゆる国のあらゆるネット市民に向けて情報を発信し、どんどん勝手に情報を広めてもらいたいのであれば、悪くない選択かもしれない。

Shadow BrokersによるMediumのサイトは2016年10月1日から投稿が開始されており、最初の記事のタイトルは「TheShadowBrokers Message #3」となっている。この「3」という番号は、これまで彼らがPastebinに投稿してきた2つのメッセージの続きであることを示した数字だ。このMediumの投稿には、過去のメッセージと同じ暗号鍵が使われているため、他者によるなりすましではないと考えられる。

Mediumに投稿された最初のメッセージ(通算3回目のメッセージ)の主な内容は、「我々のオークションを人々は本気に受け止めていないようだが、我々は本当に100万ドルの入札を希望している」という主張、および出品に関するQ&Aだった。しかしその2週間後に投稿されたメッセージでは、「もうオークションに飽きてしまった。おしまい。勝者なし」と唐突にオークションの終了を宣言しており、その後は「ビル・クリントンとロレッタ・リンチの会話」なる冗談(かなり下品かつ不適切)が綴られている。

Shadow BrokersがMediumにメッセージを投稿

そんな彼らが、通算5回目のメッセージとしてMediumに投稿したのが「イクエーショングループに関する新たなリーク」の案内だった。その内容については次回に説明したい。
 
(その2に続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…