暴露されたCIAの諜報能力「Vault 7」の衝撃度(後編)

江添 佳代子

April 5, 2017 08:00
by 江添 佳代子

「脆弱性を報告しなかったCIA」に対する3人のコメント

今回はセキュリティ業界の著名人たちが、どのようなコメントを示しているのかを説明していきたい。まずは3月8日のThe Registerに掲載された記事を紹介しよう。この記事には、ミッコ・ヒッポネン(F-Secureのチーフリサーチオフィサー)を筆頭に、セキュリティ業界の有名人のコメントが掲載された。

ミッコ・ヒッポネンは、次のようにコメントしている。「米国のような国において、諜報機関の使命は国民を安全に保つことだ。『CIAがiPhoneの脆弱性を知っていた』ということは、Vault 7が証明している。しかしCIAは、その脆弱性をAppleに知らせず、秘密のままにすることを選んだ。つまり今回の情報公開は『CIAが、その知識をどのように使うと決断したのか』を少しだけ我々に教えている──国民を脆弱性の問題から守ることよりも、すべての人を『安全ではない状態』のままにすること、そしておそらくは、その脆弱性を自身の目的のために、あるいはテロ対策のために利用することのほうが、(彼らにとっては)重要だったと考えられる」

バラクーダ(Barracuda)のセキュリティエンジニアリングVP、スロワク・リジエ(Slawek Ligier)は、CIAのハッキングが国益の拡大を妨げている可能性があると主張した。彼は「もしもCIAが特定のエクスプロイトを知り得たのであれば、MI6やFSB(ロシア連邦保安庁)、MSS(中国国家安全部)、モサド(イスラエル諜報特務庁)も同じものを知っている可能性がある」「その問題の修復に取り組まず、『自分がそれを悪用できる唯一の存在でありたい』と望むなら、我々は全員が危険に晒されたままになる。率直に言えば、米国には『潜在的な産業スパイで失われるもの』が他の国よりも多い」と語っている。つまり、同じ脆弱性を産業スパイが悪用したとき、他の国より多くのものを持っている米国は、それだけ多くを失いかねないという警告である。

一方、「政府はゼロデイの情報を『ひそかに溜めこんでいる』のではない。彼らはゼロデイを使っているが、使わないゼロデイの貯蔵庫を保有しているのではない」と、エラッタセキュリティ(Errata Security)のロブ・グラハムはコメントしている。グラハム曰く、CIAは未修復の脆弱性を自ら発見しているのではなく「金で購入」している。したがって「CIAが脆弱性の情報を開示しなかったことを非難している人々」というのは、実際のところ「政府は数百万ドルを費やして脆弱性を(買い取って)ベンダーに知らせるべき」と主張しているのと同じだと彼は語った。

たしかに、これは一理ある。グラハムの言うとおり、CIAが「製品のゼロデイ」を他の誰かから購入しているのなら、それは「CIAが国家保安のために巨額の予算を投じて買った武器」だ。わざわざベンダーに報告して脆弱性が修復されれば、せっかく手に入れた高額な武器は無価値になる。CIAにとっては大変な無駄遣いなので、それは現実的な話ではないかもしれない。

しかし世界のスパイウェア企業が、これまでどのような顧客を相手に商売をしてきたのかを見ても分かるように、裏の市場では「資金さえ潤沢なら」おそらく誰でも脆弱性を買える。CIAと同じ情報を購入している他の顧客は、どこかの独裁国家の警察機関かもしれないし、大規模な犯罪組織か、あるいは国家の関与が疑われているサイバーマフィアかもしれない。つまりヒッポネンやリジエが主張しているとおり、高額で売買されるゼロデイは「CIAがスパイ行為を仕掛けたい特定の人物」以外のすべての米国市民、米国企業、そして米国企業を利用する世界中のユーザーをいまも傷つけている可能性が高い。

組織の武器をコントロールできなかったCIA

コンピューターフォレンジック「Absolute」のグローバルセキュリティ戦略担当者、リチャード・ヘンダースンも、ヒッポネンやリジエと同様の懸念を示している。しかし彼は「CIAがハッキングのツールを(外部へ漏洩しないように)管理する能力を欠いていること」が今回の流出事件から窺える、という点を重視した。

「コンシューマー用のデバイスに存在する深刻な脆弱性を、政府の諜報機関が積極的に購入し、それを元に開発を行い、そして『流出させた』という事実は、このような機関における監督レベルに関する疑問を真剣に投げかけるものだ」と語る彼は、この漏洩によって「同じことを企む人々」のハードルが下がることを不安視している。

さらにヘンダースンは、政府がデバイスにバックドアを設置するよう強いた場合(たとえば過去に米国の法執行機関がAppleに強いたように)、あるいはそのための法を制定した場合、決して良い結果とならないことが今回の事件によって明確になったとも語った。このようなバックドアを「米国だけが捜査のみを目的に」利用したいと望んだとしても、結局それは「西側に友好的ではない機関」にも知られ、最終的には悪用されてしまうことになるだろうと彼は警告している。

ロシアが選んだセキュリティ界の重鎮

一方、ロシア側のメディアはVault 7の話題をどのように伝えたのだろうか? ロシア発の英語メディア「RT(旧ロシア・トゥデイ)」は、WikiLeaksがVault 7の発表を行った3月7日以降、この話題を何度も取り上げてきた。ロシアがCIAの行動を非難するのは当たり前なので、内容は推して知るべしなのだが、中でも特に興味深かったのはジョン・マカフィーをコメンテーターに迎えたシーンだろう。

誰もが一度は聞いたことのあるアンチウイルスソフト「McAfee」の生みの親であるマカフィーは、同社を去ったあとの多様なエピソードでもお馴染みの人物だ。彼の型破りすぎる生涯を紹介するととんでもない長さになるので、ここでは割愛させていただきたい(あまり詳細ではないが、日本語Wikipedia「ジョン・マカフィー」のページはこちら)。

このインタビューの中で、マカフィーはVault 7を「ぞっとする」話題だと表現し、それを公にしたジュリアン・アサンジへ感謝の言葉を述べ、次のように語った。「ソフトウェアのメーカーがゼロデイを見出すより何年も早く、CIAがそのゼロデイのエクスプロイトを知っていたことが確認された。(中略)その問題を修正しなかったことでGoogle、Apple、Microsoft、その他の数多くの米国メーカーは自社の顧客を、そしてメーカー自身の評判を危険に晒した。それらの全ては、我々にとって数十億ドル規模の損失だ」

そしてマカフィーは、既知の脆弱性が放置された状況について「多くの国民が病気を抱えているのと同じことではないのか」と語り、「CIAは船に積載したペニシリンを持っている。それで我々を治すことができるのに、彼らは『そのペニシリンで(CIAの)敵も治ってしまうこと』を防ぐため、我々に与えようとしない。この恐ろしさが分かるか?」「もし、この場にジョン・オーウェン・ブレナンとマイケル・ヘイデン(いずれもCIA元長官)がいたなら、私は『恥を知れ!』と言いたい」と過激な表現でCIAを非難した。

さらにインタビュアーから「米国の諜報機関が、ロシアや他国から『痕跡(となる情報)』を盗み出すことによって、自身の攻撃の責任をなすりつけているという話題がある。DNCなどのハッキングがロシア発だと思われていることについて、どう思うか?」と質問された彼は、「多くの理由で、その犯人はロシアではないと考えている。たとえばDNCのハッキングが、もしもロシアの国営ハッカーの仕業だったなら、賢明な彼らは『もっと上手にやった』はずだ。彼らなら、そのようなハッキングの痕跡を残さない」と回答した。

実は、この問題について彼がRTにコメントしたのは、今回が初めてのことではない。ホワイトハウスを去る直前のオバマ大統領が、米国の政府機関に対する一連の攻撃活動への報復措置としてロシアに対する制裁処分を発表し、「グリズリー・ステップ」なる報告書を公開したことは今年1月にもお伝えしたとおりだが、このときもマカフィーはRTの取材に対して「グリズリー・ステップは誤謬(fallacy)の報告書」であると語った。「もしもロシアの仕業に見える攻撃であれば、私は『それは断じてロシアの仕業ではない』と言おう」と表現したのは、いかにもマカフィーらしいコメントだった。そして今回のインタビュアーはもう一度、彼の口から同じことを語らせたかったのだろう。

ロシア発の攻撃も、中国発の攻撃も、実はCIAの仕業?

このインタビューの流れからも分かるとおり、Vault 7を巡るRTの報道は、ただCIAのハッキングを批判するのではなく、「これまで数々のハッキングをロシア政府の攻撃と決めつけてきた米国政府」への批判へと繋げたがっているようだ。そしてジュリアン・アサンジのリリースにも、それを後押しする話題が綴られている。

WikiLeaksが発表したVault 7プレスリリースの「EXAMPLES」の章には、「UMBRAGE」という項目がある。このUMBRAGEとは、CIAのリモートデバイス部署(Remote Development Branch、RDB)内のグループの名前だ。

このグループは、「他国が作ったマルウェアから『盗み出した』攻撃の技術の実質的なライブラリを収集、管理している存在」であるという。UMBRAGEのおかげで、CIAは単に攻撃の種類を増やせるだけでなく、実際に攻撃を行う際、盗んだ相手の「フィンガープリント(指紋、攻撃元を特定できる証拠)」を残すことができる。つまり攻撃に対するフォレンジック調査が行われた際には、まるで他者(=もともとのマルウェアの作者、CIAがマルウェアを盗んだ相手)による攻撃であるかのような痕跡をわざと残すことができる、とWikiLeaksは説明している。このUMBRAGEに関連したYear Zeroの流出情報は、このページから読むことができる。

これは、ロシアの政府やメディアがVault 7について論じる際、最も強調したいポイントだろう。3月9日のRTは「#Vault7:ロシアや他国のフィンガープリントをハッキングし、自身の攻撃の証拠を隠すCIAの手法」と題された記事を掲載した。それは、自身の攻撃を隠してロシアや中国に責任を帰することができるUMBRAGEの働きを「Year Zeroで公開された情報の内容を元にして」説明する内容だった。この記事の中では、あのキム・ドットコムによるコメントのツイートも紹介されている。


「CIAは、サイバー攻撃を敵国から仕掛けられたものに見せかけるための技術を使用している。それは『DNCのハッキングはロシアの仕業だった』というCIAの主張をジョークに変えるものだ」

この記事には、他にも何人かのツイッターユーザーによる反応が掲載されている。彼らのプロフィールや前後のツイートを見ると、やはり「トランプの支持者」が多いことが分かる。ちなみに、以前には民主党を支持していると語っていたキム・ドットコムも、2016年の大統領選ではトランプを猛プッシュするツイートを連投していたことは、以前にお伝えしたとおりだ

さらに RTは同日、「UMBRAGEのフィンガープリント問題」を伝える別の記事を掲載した。これらの2つの記事の内容は非常に似ているのだが、後発のほうは「Vault 7を読んだ一人のマルウェア専門家」の意見を軸にしたものとなっている。

この記事によれば、アサンジはVault 7を公開したのち、とあるアンチウィルスの専門家から連絡を受けた。その人物は、「これまでロシアや中国、イランの犯行だとされてきた過去のサイバー攻撃が、実際はCIAの仕業だったと現在の私は考えている」とアサンジに語ったという(その専門家とはジョン・マカフィーのことではないのか、と思ったのは筆者だけではないだろう。もちろん真相は分からない)。

この後発の記事は、「ロシア発とされているサイバー攻撃の犯人が、実はロシアではなくCIAだった」という説を世界に強く印象づけるために、「専門家もそう言っているのだから」とダメ押しをするべく掲載されたものであるようにも感じられる。

どちらも完全に信用できない二極化

これまで米国当局は、米国の政府機関に対する一連の攻撃について、「米国の政治に混乱をもたらし、また大統領選挙でヒラリーを敗退させることを目的としたロシア政府の大規模な作戦だった」と公に主張しており、それに対する制裁を実行してきた。さらに過激な人々は、「DNCがハッキングされたのも、NSAから機密情報が漏れたのも、そしてトランプが大統領に当選したのも、なにもかもがロシアの思惑どおりだった。トランプ大統領はもちろん、WikiLeaksのアサンジも、あのスノーデンも、ついでにジョン・マカフィーやキム・ドットコムも、みんなプーチンの飼い犬としてロシアのために働いているだけの売国奴だ」といった、やや陰謀論めいた考えを頑なに信じている。

一方のロシアはこれまで、「とにかく最も悪質なのが米国だ。他国を悪者にするパラノイア的なシナリオを作り上げては魔女狩りのような措置をとり、恐怖心を煽って世界の市民を騙している」と主張してきた。そして今回のVault 7に関する報道でも、「米国の諜報機関は自国民を危険に晒してまでゼロデイを溜め込み、いたるところに攻撃を仕掛けては、他国に責任をなすりつけるような技術を使ってきた。つまり、これまで彼らが『ロシア発だ』と訴えてきた数々の攻撃も、ついでに中国発やイラン発だとされてきた様々な攻撃も、みんな民主党政権下の米国政府機関(主にNSAやCIA)の仕業だったのだ」といった、やや「盛りすぎ感」のある話を煽っており、そのすべてを丸ごと信じている人々も多い。

そしてSNSの反応を見るかぎり、米国の市民がどちらの主張に肩入れをしているのかは、その人が単に「トランプを支持しているか、嫌悪しているか」次第となっており、互いが互いを「お前は無知だから知らないだけだ」と切り捨てているかのような印象を受ける。つまり、人々が「信じたいほう」を一方的に盲信できるほど、サイバー攻撃の帰属は困難である。そのため、どれほど過激なシナリオでも「充分にありえる話」となってしまったのではないだろうか。

とはいえ、これまでにスノーデンやアサンジが公開してきた漏洩文書は、インチキだと切り捨てるにはあまりにも膨大な量で、さらに内容の信憑性も高い。米国の機関が他国の政府や大企業に対して、あるいは単に「自分に不利益をもたらしかねない相手(自国の対抗政権、活動家、ジャーナリストなど)」に対してゼロデイを利用した諜報を仕掛け、遠隔操作で秘密裏に情報を盗み出したのち、その攻撃を隠したり、他国による攻撃に見せかけたりするための技術を用いたりしてきたことは、おそらく間違いないだろう。

しかしロシアも中国も、そして他のいくつかの国々も似たようなことをしてきたはずだ。CIAが他者から脆弱性を購入し、それを悪用するツールを開発してきたのであれば、他国(とりわけシギントに莫大な予算を割いていることで知られている国々)がそれと同じことを行わない理由はない。そして「国家規模のサイバー戦では『嘘の証拠』を残す手法で責任のなすりつけが行われる」というのは、今回のvault 7によって新たに発覚したアイディアではなく、これまでにも散々語られてきた問題である。

このような手法のハッキングが蔓延している状況では、誰が何を目的としてどの攻撃を行ったのかを特定することが極めて難しい。そのため、被害者となった国々は「技術的な解明の力」を追求するのではなく、「いかにして信用されやすい説明を行うか?」のほうを重視するようになりかねない。その攻撃に対する応戦もまた、どの国がどの国を攻撃しているのか我々には分からないまま、淡々と進められていくのかもしれない。

ともあれ今回のVault 7は近々、一般ユーザーが利用している数々の端末に「脆弱性の修復」をもたらすだろう。いま、あなたの目の前にあるPCやスマートフォンで(あるいは周辺機器やテレビでも)何らかのアップデートが行われる可能性は高い。そのパッチは、マカフィーが「ペニシリン」に喩えたものだ。米国政府やロシア政府があなたの情報を狙う理由は一切ないとしても、様々な人々が──たとえば国営ハッカーの手口を模倣しようとする詐欺師でさえ──それと同じ病魔の悪用を企んでいる。あなたの家族や周囲の人々が、億劫がってワクチンを拒否するようなことがくれぐれもないよう、ぜひとも注意喚起をしていただきたい。
 
(了)




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…