底知れぬ「Shadow Brokers」 (2) NSAによるサイバー攻撃リストか?

江添 佳代子

December 7, 2016 08:00
by 江添 佳代子

ハロウィンのプレゼント

2016年10月30日、Shadow BrokersがMediumに投稿した記事「Message#5 - Trick or Treat?」はタイトルからしてハロウィンを意識したもので、冒頭の挨拶も「米国の皆さんのために今夜、スペシャルなトリック・オア・トリートを用意した」とある。

しかし、この短い挨拶のあとに「まずは質問だ」と記されており、そこからしばらくは米国のCIAやNSAの役割に関する疑問、米国の選挙制度の不平等に対する疑問、それに対する苦言などを示した文章が延々と続く。簡単に言えば米政府への批判と、国民に反乱を促す過激なメッセージだ。その内容については後ほど説明することにしよう。

ほとんど文末に近づいた頃、ようやく「OK。それでは皆さん、お約束のスペシャルなトリック・オア・トリートをどうぞ」というメッセージが現れる。その下には、2つのURLとパスワードが示されている。

ここで公開するファイルについて、Shadow Brokersは次のように説明した。
「これはイクエーショングループのpitchimpair(リダイレクター)のキーだ。あなたたちのネットワークに侵入する(した)多くのミッションは、これらのIPアドレスから発せられている」

少し分かりづらい表現だが、この漏洩ファイルに含まれているIPアドレスは、「イクエーショングループが侵害したサーバー」であり、なおかつ侵害したあとで「別の標的のネットワークを攻撃し、そこに諜報行為を働くために利用していたサーバー」を示したものだということになる。彼らの主張が真実であるなら、イクエーショングループは、攻撃元を偽って攻撃するために他国のサーバーを足がかりにすることができた、とも言える。
 
※注意 どんなIPアドレスが掲載されているのか見てみたい、さっそくダウンロードしよう……と思われた方には、いったん落ち着いてほしい。このあとリスト化されたデータについて説明するので、わざわざ危険を冒さなくとも内容を確認できる。また公開されたファイルは、「ほんの少しだけデータの入ったフォルダ」が膨大に詰まった、ログそのままのデータだ。一つひとつを見るだけでも大変な作業となる。

2つの作戦に用いられた?「米国外のサーバー」のデータ

ここにダンプされたファイルの主なデータは、「intonation」と「pitchimpair」の2つのフォルダに分かれている。この2つのフォルダ名は、それぞれイクエーショングループが利用していた諜報プログラムの作戦コード名だと考えられている。Shadow Brokersが記事の中で言及していた「pitchimpair」だけではなく、「intonation」のデータも含まれているようなのだが、その理由に関する説明らしきものは特に見当たらない。

それぞれのフォルダの中は、さらに「ドメインごとのフォルダ」に分かれている。intonationには107のフォルダ、pitchimpairには199のフォルダがあり、この計300を超えるフォルダには、「ツールの名前ごとに分かれたログらしきデータ」が入っている。一例を挙げると、\trickortreat\pitchimpair\uji.kyoyo-u.ac.jp___133.3.5.33 というフォルダには「sidetrack」「jackladder」などの名がついた6つのファイルが入っている。これらの名前はNSAの攻撃ツールのコードネームだと言われているものと一致しているが、現在のところ、それらツールの詳細は分かっていない。

そのうちのひとつ、jackladderの内容は以下のようなものだ。
 
PITCHIMPAIR___uji.kyoyo-u.ac.jp___133.3.5.33___20060425-140836() {
## JACKLADDER Version:2.0 OS:sparc-sun-solaris2.8
export CV=”NOT KEYED”

このように、元のファイルはウンザリするほど閲覧しづらい構成だが、いくつかのウェブサイトにはドメイン名を抜き出して一覧にしたものが掲載されている(例:Pastebin.comの投稿)。さらに、MicrosoftのプリンシパルエンジニアリングマネージャMatt Swannが非常に閲覧性の高い機能的なスプレッドシートをシェアしているので、皆様にはこちらの閲覧をお勧めしたい。

Matt Swann氏が公開しているスプレッドシート

この「intonation」「pitchimpair」の2枚に分かれたシートを簡単に説明すると、AからCまではそれぞれのサーバーに関する情報、Dはタイムスタンプ、そしてEからLまでの8つの列は、それぞれのフォルダに含まれているファイルの名前(つまりNSAの攻撃ツールのコードネーム)である。たとえば先ほどの「uji.kyoyo-u.ac.jp___133.3.5.33」の列をpitchimpairのシートから探してみれば、6つのツール名に「×」がついている。どのサーバーがどのツールに利用されたのか一目瞭然だ。

OS情報(C列)からは、標的とされたサーバーの多くがSolaris 2.xを利用していたことも分かる。これらの一連のデータは、決して新しく記録されたものではない。最も古いタイムスタンプは2000年8月22日、最も新しいもので2010年8月18日だが、ほとんどのデータは2007年以前だ。そのため、このリスト自体にそれほどの価値はないと指摘する専門家もいる。


「Shadow Brokersは、あいかわらず広報活動と金儲けに臨んでいる。このサーバーのリストは9年ぐらい前のもので、すでに存在していないか、あるいは再インストールされているだろう」情報セキュリティ専門家、Kevin Beaumontのツイート

自分の関わっている組織(企業)が、そのIPアドレスのリストに入っているのかどうかを確認したい方は、このスプレッドシートを見るだけで充分だろう。しかし多くの方は、「そのデータが本物であるとするなら(※)、どの国の、どのような機関がイクエーショングループに狙われ、利用されたのか?」を示した統計のほうに興味があるのではないだろうか。それらは次回で紹介することにしよう。
 
※この漏洩データが「Shadow Brokers自身によって公開されたもの」であることはほぼ間違いない。そして前回、彼らがサンプルデータとして公開したファイルが本当にNSAから盗まれたものであることも、ほとんど疑いの余地がない。この犯行グループの性質と、暴露されたデータの内容を考えると、新しいリークの信頼性は非常に高いだろう。しかし「今回のデータも、実際にNSAから盗まれたものだ」と断定することはできない。
 
(その3に続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…