底知れぬ「Shadow Brokers」 (6) 逮捕された元NSA職員

江添 佳代子

December 22, 2016 08:00
by 江添 佳代子

元NSA職員に対する捜査の内容

2016年10月5日、マーティンの逮捕を伝えた米合衆国司法省のウェブサイト、および『The New York Times』が掲載した告訴状には、もちろんShadow Brokersやイクエーショングループの名前は記されていない。しかし同日のThe New York Timesは、この逮捕について次のように伝えた

「当局の証言によると、マーティンが『海外の政府のネットワークに侵入するためにNSAが運用していた極秘のコード』を盗み出し、それを公開したのかどうかをFBIが捜査しているという」
「しかしマーティンの事件については数多くの未解決の疑問がある。当局がいつ、どのように彼を特定したのか。そして彼がいつから犯行に手を染めたと考えているのか。また、この逮捕が『Shadow Brokersを名乗るグループがNSAの機密コードを漏えいした8月の事件』と関係があるのか、あるいはWikiLeaksが昨年から行っている『日本やドイツ、その他の国々に対する一連のNSAの盗聴行為に関する暴露』に、彼が何らかの役割を果たしたのかどうかも不明だ」

確かに不明な点は多い。しかしマーティンが逮捕されたのはShadow Brokers騒動が発生から2週間後であったにも関わらず、漏洩の話題が下火になってから(約1ヵ月後に)発表したのは怪しい。さらに「海外の政府のネットワークに侵入するNSAの極秘のコード」という説明は、まさしくShadow Brokersがオークションのサンプルとしてオンラインに公開したものと一致している。多くのメディアはその関連性を断言しなかったものの、彼の逮捕を「Shadow Brokersの漏洩事件ののち、密かに行われていた逮捕」として伝え、また一部のニュースサイトはマーティンや妻、自宅や自家用車の写真を添えて、彼の人物像を紹介する内容の記事を掲載した。

今年8月にShadow Brokersが犯行声明を発表したとき、多くのセキュリティ関係者は、その正体を「ロシア政府」ではないかと考えた。しかし一方で「内部犯行説」も根強く主張されており、一部には「Shadow Brokersを名乗っているのは内部の一人の従業員だ」と断定する意見もあった(参照:ハッキング集団「Shadow Brokers」と沈黙のNSA (2) 。この「単独犯行を起こした従業員」がマーティンだったのでは? と考える人がいても不自然ではない。

覆された「マーティンの単独犯行説」

しかしShadow Brokersは、マーティンが逮捕されてから数日後の10月15日、その疑いを晴らすかのようなタイミングで新たなメッセージをMediumに投稿した。利用された暗号鍵から、その投稿は「なりすましによるものではない」と考えられている。さらに、その半月後には「2度目のNSAの暴露情報」がダメ押しのように公開された。つまりマーティンの単独犯行説は、ほぼ覆された。とはいえ彼がShadow Brokersの一員だった、あるいは彼らに情報を売っていたという可能性は現在も残されている。

その後、マーティンに関する報道は「マーティンとスノーデンとの類似性」や「彼が機密情報を盗み続けたとされる年月の長さ、盗まれた情報の量」、そして「彼の保持していたデータが外部に漏洩されたという証拠が得られずに四苦八苦している当局者」などの話題へとシフトしていった。

その一例として、 『The Washington Post』の10月20日の記事がある。マーティンが機密データを「驚くべき量」で20年以上に渡って盗んでいた、という連邦検察官の主張が掲載された記事だ。この主張が本当ならば、マーティンはスノーデンのファイルを超える量の情報を入手していた可能性も高い。なお、この記事の文中には「Shadow Brokers」の名前が一度も出てこない。

直接的なハッキングでも、内部犯行でもなかった?

一方「NSAがShadow Brokersにハッキングツールを盗まれたときの経路」として有力視されているのは、「一人の悪意なきスタッフが外部のサーバーにツールを保管していたところ、そのサーバーがハッカーたちに発見され、攻撃された」という説だ。つまりNSAがハッキングで破られたのではなく、また内部犯行による流出でもなかったという説である。

2016年9月22日、『ロイター』が独占スクープとして伝えた記事によれば、いまから3年前の2013年、一人のスタッフが「保管してはならない場所」に保管していた機密データが盗まれた。そのことに気づいた当のスタッフは即座に、上司にミスを報告した。しかしNSAは、「諜報のために利用していた『セキュリティ製品の脆弱性』の情報」が盗まれたことをベンダーに報告しなかった、と複数の関係者が語っている。

Cicsoなどのファイアウォール製品の脆弱性が犯罪者に利用された場合、あるいは脆弱性の情報がオンラインに公開された場合、「その製品を利用しているユーザー」は危険にさらされる。しかしロイターの報道が正しいのであれば、NSAは自身が利用していた脆弱性の情報が盗まれたことを公表しなかったばかりか、「こっそりベンダーに知らせて修復を促すこと」すらしなかった。この3年間、盗まれた脆弱性を誰がどのように利用したのかは知るよしもない。

このニュースが報じられたときには、まだマーティンの逮捕が公開されていなかったため、過ちを犯した「一人のスタッフ」がマーティンのことを指していたのか、あるいは彼の他にも「外部に晒されたサーバーに、極秘の攻撃ツールを保管していた人物」がいたのかは分からない。

この問題に関して、NSA、FBI、国家情報局長官はすべて、ロイターからのコメント要請を拒否している。
 
(その7に続く)




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…