暴露されたCIAの諜報能力「Vault 7」の衝撃度(中編)

江添 佳代子

April 4, 2017 08:00
by 江添 佳代子

積極的にVault 7を報じないメディア

前編で説明したとおり、Vault 7の第一弾「Year Zero」では、AppleやMicrosoftをはじめとした数多くの企業製品の脆弱性を狙ったCIAの攻撃が判明した。いずれの製品も使わずに生活しているインターネットユーザーは、ほぼ皆無だろう。たとえばCIAはAndroidに存在する「24のゼロデイ」にエクスプロイトを仕掛けることができた、とWikiLeaksは説明している。それだけでも、世界に流通しているスマートフォンの85%が影響を受けることになる。これはあらゆる先進国の市民にとって衝撃的な話題だろう。

しかし北米圏の大手メディアの多くは、このVault 7(およびYear Zero)について、それほど積極的に報道しなかった。もちろんセキュリティ系やIT系のメディアは、その内容を大きく報じたが、大手メディアの取り組みはあまり派手ではなかった。どちらかと言えば「トランプ大統領の話題に絡める形で、大雑把な概要だけを撫でるように」伝えているような印象を受ける。これは2013年、「スノーデンによるNSAの告発」が、あらゆる米国の大手メディアによってセンセーショナルに報じられたときとは対照的である。

その歴然とした差には、いくつかの理由がありそうだ。ざっと想像するだけでも以下のような事情が挙げられる。
 
(1)「あのWikiLeaks」が情報公開を行ったため

米国市民の多くは、先の大統領選で「トランプの当選を願ったロシア」が暗躍したのではないかと考えている。なにしろ2016年、当局者たちが公の場で主張したことなのだから当然だろう。そして「WikiLeaksのアサンジがヒラリーのネガティブキャンペーンを大々的に行ったのは、ロシアの計画に協力するためだった」と考えている人々も少なくない。

そのWikiLeaksが、いま「CIAの監視を断罪するような機密文書公開」を開始したのは、ロシアのプロパガンダの一環ではないかと思われる可能性が高い。ただでさえ昨今のトランプ大統領は、「私はオバマ政権下の米国の諜報機関に盗聴されていた」とアピールする発言を繰り返すようになっているので、この疑惑はますます強まる。このタイミングで米国メディアがWikiLeaksの活動を派手に報じるのは、ひょっとすると「プーチンの思う壺」かもしれない。

つまり今回の情報公開には、政治的な意図があったのではないかという疑いがある。そしてCIAはVault 7の真偽に関するコメントを発表していない。トランプ大統領と対立する機会の多いメディアとしては、もう少し事態が明らかになるまで、この微妙な話題を大きく取り上げたくないだろう。
 
(2)今回は「全市民に対する無差別な監視」の話題ではない

2013年にスノーデンが内部告発を開始した当初、最も大きな話題となったのは、NSAのプログラム「PRISM」だった。これは米国の各大手IT企業がNSAに協力することにより、顧客のプライバシーが筒抜けになる計画だったため、すべてのインターネットユーザーにとってショッキングな内容だった。

一方、Year Zeroが示した「CIAの諜報の手口」は、標的を絞り込んだうえで行われる高度なハッキングの技術だ。ジャーナリストや人権活動家、そしてセキュリティ関係者にとっては不安な話題だが、一般市民にとっては身近に感じるトピックではない。スノーデンの内部告発のニュースと比較すれば、視聴率や発行部数、PVを稼ぎづらいだろう。
 
(3)「被害者」であるベンダーが明確なコメントを避けている

スノーデンが「PRISM」の情報を暴露したとき、そこに名前を挙げられた各大手企業(Microsoft、Apple、Google、Yahoo!、Facebook、AOL、Skype、YouTube、PalTalkの9社)は顧客の信頼を回復するべく、一斉にNSAへの協力を否定して「そんなプログラムの話は聞いたこともない」「我々は顧客のプライバシーを重視している」と発表した。それらの反応は、スノーデンの内部告発に関する続報を提供することになった。

しかし今回、「CIAが脆弱性を利用した製品」のベンダーとしてYear Zeroの中で名指しされた各企業は、CIAに協力したと非難されているのではなく、むしろエクスプロイトの被害者ともいえる立場だ。少なくとも顧客を裏切ったと考えられてはいない。そのためもあってか、多くの企業は積極的な発表を行わなかった。
 
とはいえ、彼らが無視を決め込んでいるわけではない。たとえばBBCの取材に対して、Appleは「初回に行った分析の結果、(Vault 7で)流出した問題の多くが最新のiOSでは既に修復されていることが示された」「脆弱性を早急に解決するための作業を我々は継続している」などの無難な回答をしている。しかし、それを自ら積極的にアピールしようとする様子はない。他のほとんどの企業も、メディアの取材に対して「Vault 7のことを認識している」、あるいは「その問題に取り組んでいる最中だ」と返答する程度に留めている。

この先、より詳細な研究が進めば、各社から正式発表が行われるのかもしれない。しかしCIAが事実関係について肯定も否定もしていない状況なら、企業もわざわざ事を荒立ててユーザーを不安にしたくはないだろう。それらの企業が広告主となる機会の多い大手メディアも、同じ気持ちかもしれない。
 
(4)わかりやすく報道できない

Year Zeroの情報公開で最も衝撃的な点は、「我々が利用している数々の製品(主に米国製品)の脆弱性を、米国機関のCIAが諜報活動に利用していた」という部分だろう。しかし「それが一般市民の生活にどのような影響を及ぼす可能性があるのか」を、一般メディアが誰にでも分かるように、なおかつ興味を持ってもらえるように説明するのは難しい。これは以前にお伝えしたShadow Brokersによる「イクエーショングループ」のデータ流出事件と同じようなややこしさである。どれほど大きな事件なのかを伝えるためには、まず政治的な背景から説明しなければならず、シンプルに報じることができない。

日本のメディアも同様だ。日本の大手報道機関では、今回のYear Zeroをあまり大々的に取り上げていない。その一方で、個人ブログやまとめサイトでは「CIAによる『日本の顔文字』の研究」ばかりが面白おかしく取り上げられている。一般ユーザーにとって、今回のニュースの本質が少々難解であり、単純なエンターテインメント性に欠けているのは間違いないだろう。

ただでさえ、この数年間の米国では「諜報機関によるシギント活動」の話題がさんざん蒸し返されてきた。そのため国民の間にも飽きが生じている。スノーデンの開示から4年が経とうとしている現在、WikiLeaksが行った情報公開は、セキュリティ業界の人々には興味ぶかい内容だが、それほど多くの人々を惹きつける話題ではなさそうだ。
 

Ciscoの反応

先述のとおり、このYear Zeroで「製品の脆弱性を利用されている」と名指しされた企業のほとんどは、本件に関するコメントやフォローを積極的に発表しなかった。そんな中で、素早くユーザーへの対応を示したのがCiscoだった。

Year Zeroには、Ciscoの複数のデバイスを狙って感染するマルウェアの情報が掲載されている。WikiLeaksの発表と同日にあたる3月7日、 Ciscoはブログの中で、この問題に関する案内を行った

同社のセキュリティインシデント対応チームのマネージャーであるダリス・チッカローネは、このブログの中で「WikiLeaksが初回に行ったツールやマルウェアの情報公開(=Year Zero)では現物まで公開されなかった」という点を説明し、「すでに分かっている内容から積極的な分析を行ってはいるものの、我々が脆弱性の対策として現時点でできることはあまり多くない」と語った。それでも彼は、Year Zeroに示された同社製品への攻撃について次のように解説している。
 
・Ciscoのデバイスにインストールされたマルウェアは、データの収集や抜き出し、管理者権限によるコマンドの実行(その実行のログを残さない形で行われる)、HTMLトラフィックのリダイレクト、改ざんや変更(ウェブページへのHTMLコードの挿入)、DNSポイズニング、隠されたトンネリングなどを可能とするようだ。
 
・いったんインストールされたツールが、デバイス上での検出によって、あるいはデバイスのフォレンジック分析によって発見されてしまうことがないようにするため、(それらのツールの)作者たちは膨大な時間を費やしている。
 
・彼らは「品質保証のテスト」にも、やはり膨大なリソースを費やしているようだ──それはインストールされたマルウェアが、デバイスにクラッシュや誤動作を引き起こすことがないよう確認するためだと思われる。

チッカローネによれば、Cisco製品のセキュリティインシデント対応チームは、「(Cisco製品を狙ったCIAの)マルウェアが、最終的にはWikileaksによって公開されるだろう」と想定している。「それが明かされた際には問題を修正し、ユーザーへの通知を的確に行ってゆく」と約束する形で、その記事は締め括られている。

世界中で広く利用される製品を提供しているCiscoは、こういった情報が開示されるたびにあわてて対応に追われる気の毒な立場だが(一例:ベンダー大混乱、大手ファイアウォールのゼロデイが公開)、同社が毎度タイムリーに積極的な対処をしているのは賞賛に値することだ。

厄介な話題だからと消極的な対処をするのではなく、問題のマルウェアがどのような技術に長けているのかを、自身の研究によって示そうとする同社の取り組みは意義深い。Ciscoのユーザーにとっても、製品を使い続けることに対する不安がいくらか取り除かれるだろう。
 
後編につづく




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

ロシア下院が「VPNやプロキシを禁じる新しい法案」を採択

July 26, 2017 08:00

by 江添 佳代子

ロシア連邦議会下院は2017年7月21日、市民のインターネット利用を制限するための法案を全会一致で採択した。 これはロシアでのVPNやプロキシなどの利用を非合法化する法になると伝えられている。この採択を受け、モスクワでは2000人以上の市民が「インターネットの自由」や「ロシア当局によるオンライン監視…

中国北京市に大量の偽携帯基地局が存在する理由

July 25, 2017 08:00

by 牧野武文

以前、偽の携帯電話基地局から大量の広告ショートメッセージ(SMS)を発信した事件をお伝えした。その際、偽携帯基地局からのSMSは、発信元の電話番号を自由に偽装できるため、受信者側では本物のSMSなのか、偽物なのかの見分けがつかないという危険性を指摘した。案の定、中国で、偽携帯基地局から発信したSMS…