底知れぬ「Shadow Brokers」 (6) 逮捕された元NSA職員

江添 佳代子

December 22, 2016 08:00
by 江添 佳代子

元NSA職員に対する捜査の内容

2016年10月5日、マーティンの逮捕を伝えた米合衆国司法省のウェブサイト、および『The New York Times』が掲載した告訴状には、もちろんShadow Brokersやイクエーショングループの名前は記されていない。しかし同日のThe New York Timesは、この逮捕について次のように伝えた

「当局の証言によると、マーティンが『海外の政府のネットワークに侵入するためにNSAが運用していた極秘のコード』を盗み出し、それを公開したのかどうかをFBIが捜査しているという」
「しかしマーティンの事件については数多くの未解決の疑問がある。当局がいつ、どのように彼を特定したのか。そして彼がいつから犯行に手を染めたと考えているのか。また、この逮捕が『Shadow Brokersを名乗るグループがNSAの機密コードを漏えいした8月の事件』と関係があるのか、あるいはWikiLeaksが昨年から行っている『日本やドイツ、その他の国々に対する一連のNSAの盗聴行為に関する暴露』に、彼が何らかの役割を果たしたのかどうかも不明だ」

確かに不明な点は多い。しかしマーティンが逮捕されたのはShadow Brokers騒動が発生から2週間後であったにも関わらず、漏洩の話題が下火になってから(約1ヵ月後に)発表したのは怪しい。さらに「海外の政府のネットワークに侵入するNSAの極秘のコード」という説明は、まさしくShadow Brokersがオークションのサンプルとしてオンラインに公開したものと一致している。多くのメディアはその関連性を断言しなかったものの、彼の逮捕を「Shadow Brokersの漏洩事件ののち、密かに行われていた逮捕」として伝え、また一部のニュースサイトはマーティンや妻、自宅や自家用車の写真を添えて、彼の人物像を紹介する内容の記事を掲載した。

今年8月にShadow Brokersが犯行声明を発表したとき、多くのセキュリティ関係者は、その正体を「ロシア政府」ではないかと考えた。しかし一方で「内部犯行説」も根強く主張されており、一部には「Shadow Brokersを名乗っているのは内部の一人の従業員だ」と断定する意見もあった(参照:ハッキング集団「Shadow Brokers」と沈黙のNSA (2) 。この「単独犯行を起こした従業員」がマーティンだったのでは? と考える人がいても不自然ではない。

覆された「マーティンの単独犯行説」

しかしShadow Brokersは、マーティンが逮捕されてから数日後の10月15日、その疑いを晴らすかのようなタイミングで新たなメッセージをMediumに投稿した。利用された暗号鍵から、その投稿は「なりすましによるものではない」と考えられている。さらに、その半月後には「2度目のNSAの暴露情報」がダメ押しのように公開された。つまりマーティンの単独犯行説は、ほぼ覆された。とはいえ彼がShadow Brokersの一員だった、あるいは彼らに情報を売っていたという可能性は現在も残されている。

その後、マーティンに関する報道は「マーティンとスノーデンとの類似性」や「彼が機密情報を盗み続けたとされる年月の長さ、盗まれた情報の量」、そして「彼の保持していたデータが外部に漏洩されたという証拠が得られずに四苦八苦している当局者」などの話題へとシフトしていった。

その一例として、 『The Washington Post』の10月20日の記事がある。マーティンが機密データを「驚くべき量」で20年以上に渡って盗んでいた、という連邦検察官の主張が掲載された記事だ。この主張が本当ならば、マーティンはスノーデンのファイルを超える量の情報を入手していた可能性も高い。なお、この記事の文中には「Shadow Brokers」の名前が一度も出てこない。

直接的なハッキングでも、内部犯行でもなかった?

一方「NSAがShadow Brokersにハッキングツールを盗まれたときの経路」として有力視されているのは、「一人の悪意なきスタッフが外部のサーバーにツールを保管していたところ、そのサーバーがハッカーたちに発見され、攻撃された」という説だ。つまりNSAがハッキングで破られたのではなく、また内部犯行による流出でもなかったという説である。

2016年9月22日、『ロイター』が独占スクープとして伝えた記事によれば、いまから3年前の2013年、一人のスタッフが「保管してはならない場所」に保管していた機密データが盗まれた。そのことに気づいた当のスタッフは即座に、上司にミスを報告した。しかしNSAは、「諜報のために利用していた『セキュリティ製品の脆弱性』の情報」が盗まれたことをベンダーに報告しなかった、と複数の関係者が語っている。

Cicsoなどのファイアウォール製品の脆弱性が犯罪者に利用された場合、あるいは脆弱性の情報がオンラインに公開された場合、「その製品を利用しているユーザー」は危険にさらされる。しかしロイターの報道が正しいのであれば、NSAは自身が利用していた脆弱性の情報が盗まれたことを公表しなかったばかりか、「こっそりベンダーに知らせて修復を促すこと」すらしなかった。この3年間、盗まれた脆弱性を誰がどのように利用したのかは知るよしもない。

このニュースが報じられたときには、まだマーティンの逮捕が公開されていなかったため、過ちを犯した「一人のスタッフ」がマーティンのことを指していたのか、あるいは彼の他にも「外部に晒されたサーバーに、極秘の攻撃ツールを保管していた人物」がいたのかは分からない。

この問題に関して、NSA、FBI、国家情報局長官はすべて、ロイターからのコメント要請を拒否している。
 
(その7に続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(前編)

January 11, 2018 08:00

by 江添 佳代子

ベトナム人民軍は2017年12月25日、1万人規模の新たな軍事サイバーユニット「Force 47」(47部隊)の存在を公にした。このForce47は、インターネット上の「誤った見解」と戦うための部隊で、すでに一部で活動を開始したと伝えられている。 共産党による一党独裁の社会主義国ベトナムでは、インタ…