底知れぬ「Shadow Brokers」 (6) 逮捕された元NSA職員

江添 佳代子

December 22, 2016 08:00
by 江添 佳代子

元NSA職員に対する捜査の内容

2016年10月5日、マーティンの逮捕を伝えた米合衆国司法省のウェブサイト、および『The New York Times』が掲載した告訴状には、もちろんShadow Brokersやイクエーショングループの名前は記されていない。しかし同日のThe New York Timesは、この逮捕について次のように伝えた

「当局の証言によると、マーティンが『海外の政府のネットワークに侵入するためにNSAが運用していた極秘のコード』を盗み出し、それを公開したのかどうかをFBIが捜査しているという」
「しかしマーティンの事件については数多くの未解決の疑問がある。当局がいつ、どのように彼を特定したのか。そして彼がいつから犯行に手を染めたと考えているのか。また、この逮捕が『Shadow Brokersを名乗るグループがNSAの機密コードを漏えいした8月の事件』と関係があるのか、あるいはWikiLeaksが昨年から行っている『日本やドイツ、その他の国々に対する一連のNSAの盗聴行為に関する暴露』に、彼が何らかの役割を果たしたのかどうかも不明だ」

確かに不明な点は多い。しかしマーティンが逮捕されたのはShadow Brokers騒動が発生から2週間後であったにも関わらず、漏洩の話題が下火になってから(約1ヵ月後に)発表したのは怪しい。さらに「海外の政府のネットワークに侵入するNSAの極秘のコード」という説明は、まさしくShadow Brokersがオークションのサンプルとしてオンラインに公開したものと一致している。多くのメディアはその関連性を断言しなかったものの、彼の逮捕を「Shadow Brokersの漏洩事件ののち、密かに行われていた逮捕」として伝え、また一部のニュースサイトはマーティンや妻、自宅や自家用車の写真を添えて、彼の人物像を紹介する内容の記事を掲載した。

今年8月にShadow Brokersが犯行声明を発表したとき、多くのセキュリティ関係者は、その正体を「ロシア政府」ではないかと考えた。しかし一方で「内部犯行説」も根強く主張されており、一部には「Shadow Brokersを名乗っているのは内部の一人の従業員だ」と断定する意見もあった(参照:ハッキング集団「Shadow Brokers」と沈黙のNSA (2) 。この「単独犯行を起こした従業員」がマーティンだったのでは? と考える人がいても不自然ではない。

覆された「マーティンの単独犯行説」

しかしShadow Brokersは、マーティンが逮捕されてから数日後の10月15日、その疑いを晴らすかのようなタイミングで新たなメッセージをMediumに投稿した。利用された暗号鍵から、その投稿は「なりすましによるものではない」と考えられている。さらに、その半月後には「2度目のNSAの暴露情報」がダメ押しのように公開された。つまりマーティンの単独犯行説は、ほぼ覆された。とはいえ彼がShadow Brokersの一員だった、あるいは彼らに情報を売っていたという可能性は現在も残されている。

その後、マーティンに関する報道は「マーティンとスノーデンとの類似性」や「彼が機密情報を盗み続けたとされる年月の長さ、盗まれた情報の量」、そして「彼の保持していたデータが外部に漏洩されたという証拠が得られずに四苦八苦している当局者」などの話題へとシフトしていった。

その一例として、 『The Washington Post』の10月20日の記事がある。マーティンが機密データを「驚くべき量」で20年以上に渡って盗んでいた、という連邦検察官の主張が掲載された記事だ。この主張が本当ならば、マーティンはスノーデンのファイルを超える量の情報を入手していた可能性も高い。なお、この記事の文中には「Shadow Brokers」の名前が一度も出てこない。

直接的なハッキングでも、内部犯行でもなかった?

一方「NSAがShadow Brokersにハッキングツールを盗まれたときの経路」として有力視されているのは、「一人の悪意なきスタッフが外部のサーバーにツールを保管していたところ、そのサーバーがハッカーたちに発見され、攻撃された」という説だ。つまりNSAがハッキングで破られたのではなく、また内部犯行による流出でもなかったという説である。

2016年9月22日、『ロイター』が独占スクープとして伝えた記事によれば、いまから3年前の2013年、一人のスタッフが「保管してはならない場所」に保管していた機密データが盗まれた。そのことに気づいた当のスタッフは即座に、上司にミスを報告した。しかしNSAは、「諜報のために利用していた『セキュリティ製品の脆弱性』の情報」が盗まれたことをベンダーに報告しなかった、と複数の関係者が語っている。

Cicsoなどのファイアウォール製品の脆弱性が犯罪者に利用された場合、あるいは脆弱性の情報がオンラインに公開された場合、「その製品を利用しているユーザー」は危険にさらされる。しかしロイターの報道が正しいのであれば、NSAは自身が利用していた脆弱性の情報が盗まれたことを公表しなかったばかりか、「こっそりベンダーに知らせて修復を促すこと」すらしなかった。この3年間、盗まれた脆弱性を誰がどのように利用したのかは知るよしもない。

このニュースが報じられたときには、まだマーティンの逮捕が公開されていなかったため、過ちを犯した「一人のスタッフ」がマーティンのことを指していたのか、あるいは彼の他にも「外部に晒されたサーバーに、極秘の攻撃ツールを保管していた人物」がいたのかは分からない。

この問題に関して、NSA、FBI、国家情報局長官はすべて、ロイターからのコメント要請を拒否している。
 
(その7に続く)




ハッカーの系譜(10)マービン・ミンスキー (10) 多層化することで問題を解決

March 30, 2017 08:00

by 牧野武文

多層化することでXOR問題を乗り越えられる パーセプトロンの第1の進化は多層化だ。ミンスキーが指摘したように、パーセプトロンはXORの論理演算結果を学習することができない。前回示したように、XORの演算結果は線形分離不可能、つまり直線で真と偽のグループにわけることができないからだ。 しかし、実はちょ…

POSマルウェアの恐怖 (4) クレジットカード番号が顧客番号や業務処理のキーとして活用される

March 29, 2017 08:00

by 牧野武文

  ・POSマルウェアの恐怖(1) PCI DSSに準拠しても防げない? 狙われるPOSシステム ・POSマルウェアの恐怖(2) カード情報が平文で通信されるシステム ・POSマルウェアの恐怖(3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか POSレジを…

IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(後編)

March 28, 2017 08:00

by 江添 佳代子

  →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編) →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(中編) 何も知らされていなかったユーザー ここでいったん時系列を確認しよう。ハントやロレンゾに情報を提供した人物がCloudPetsへの連絡を試みたのは…

中国で9億アカウントが利用する「WiFi万能鍵」が1308種類の偽アプリを一掃

March 27, 2017 10:30

by 牧野武文

『中国経済網』の報道によると、中国で大人気のアプリ「WiFi万能鍵」を開発した上海連尚科技有限公司は、今年3月までに、1308種類の偽アプリを一掃したと発表した。 アカウント数9億件を超える無線LANユーティリティーソフト WiFi万能鍵は、公衆無線LANに自動接続するAndroid・iOSアプリ。…