Faiz Zaki / Shutterstock.com

追放された「カスペルスキー」が米国土安全保障省を訴える

江添 佳代子

December 22, 2017 08:30
by 江添 佳代子

2017年12月18日、著名なセキュリティ企業のひとつであるカスペルスキー(Kaspersky Lab)が米国土安全保障省(以下DHS)を相手に訴訟を起こした。米国では12月12日、米政府機関でのカスペルスキー製品の利用を禁じる法案にトランプ大統領が署名したばかりだ。この署名で米国政府は、「国の安全保障のため、ロシア政府の諜報機関との繋がりが懸念されるカスペルスキーの製品を閉め出す」という決断を強く示していた。

この訴訟の背景は単純ではない。ロシアと米国を巡るサイバー諜報合戦の話題、およびロシア政府による米大統領選への介入の疑惑、様々な人々による主張や憶測、また米国市民の感情や、トランプ大統領の立ち位置なども複雑に絡み合っているからだ。

しかし、ここではなるべくシンプルに
「トランプ大統領が署名した法案とは、どんな内容だったのか?」
「どのような経緯でカスペルスキーの製品が米国の政府機関から締め出されることになったのか?」
「カスペルスキーは何を主張しているのか?」
を中心として、一連のニュースをお伝えしたい。

大統領が署名した12月の「権限法」とDHSによる9月の「決定」

問題の法案「National Defense Authorization Act for Fiscal Year 2018(直訳:2018年度国防権限法案)」は、12月12日にトランプ大統領が署名した2018年度の防衛予算案に含まれていたものだ。まずは、この権限法の内容を見てみよう。第1634条には次のように記されている
 
第1634条 Kaspersky Labが開発、提供する製品およびサービスの使用を禁ずる。
 
(a)禁止──連邦政府のあらゆる部署、機関、組織、その他すべての構成要素は、直接的な場合であれ、あるいは連邦政府の他部署や機関、組織、その他に成り代わる場合であれ、下記のいかなるものによるハードウェア、ソフトウェア、サービスを、全体的に、あるいは部分的に利用してはならない。
 
(1)Kaspersky Lab(または、それを継承するもの)
(2)Kaspersky Labを管理しているもの、Kaspersky Labに管理されているもの、もしくはKaspersky Labと共同の管理下にあるもの
(3)Kaspersky Labが過半数の所有権を持つもの
 
(b)発効日──(a)項の「禁止」は、2018年10月1日に発効するものとする。

分かりづらい文章だが、簡潔に言えば「連邦政府の職員や政府の業務に関わっている者は皆、カスペルスキーと関連のありそうな製品やサービスを少しも使ってはならない」ということになる。その徹底的な禁止の内容もさることながら、条項の中でカスペルスキーが名指しされている点も衝撃的だ。

2018年度国防権限法案 第1634条

しかしカスペルスキーとDHSのニュースを追ってきた人々にとって、それは驚くほどの話題でもなかった。なぜなら今年9月13日の時点で、すでにDHSは連邦政府機関の関係者たちに対し、90日以内にカスペルスキーの製品やサービスを取り除くよう命じる決定「Binding Operational Directive 17-01」を発表していたからだ。この決定の中で、DHSは次のように記している。

「それがロシア政府の独断の行動であれ、あるいはカスペルスキーと協働した行動であれ、ロシア政府が『カスペルスキーの製品によって提供されるアクセス』を利用し、連邦の情報や情報システムを侵害するリスクは、米国の国家安全保障と直接的に関係するものだ」

この発表が行われた13日、カスペルスキーも次のような声明を発表した

「Kaspersky Labは、いかなる政府とも不適切な繋がりがないので、DHSの決定には失望している。その一方、DHSに情報を提供することで『それらの主張には何の根拠もない』と立証する機会を得られたことに感謝したい。今回の(DHSの)決定は『間違った疑惑と憶測』に基づいたものであり(『ロシアの規制や政策が当社に及ぼす影響』に関する主張などと同様に)、いかなる人物も組織も信憑性のある証拠を公に示していない。Kaspersky Labが、世界中の政府をサイバー攻撃の脅威から保護するために適切な製品やサービスを提供している企業だということは常に認められてきたが、我々はロシアを含めいかなる国の政府とも、反倫理的な繋がりや協働関係を持たない」

DHSの決定に対するカスペルスキーのリリース

さらにカスペルスキーは、同社が無実であることが証明されるまでの間、「地政学的な問題を理由として、一民間企業が有罪だと見なされかねないこと」を不安視している、と語った。つまり同社は、根拠がないまま「ロシア政府は同国の企業カスペルスキーを通して諜報活動を行ったに違いない」と見なされるダメージを懸念している。

「Kaspersky Labに対して、より詳細な調査が行われれば、このような疑惑は無意味であることも確証されると我々は強く信じているので、DHSと協力しあえることを心から望んでいる」という一文で、その声明は締め括られている。

なぜカスペルスキーが槍玉に挙げられたのか

先日署名された法案も、9月に発表された決定も、「国外のセキュリティ企業の製品を利用するな」と命じるものではない。ただ「カスペルスキーの、ありとあらゆる製品やサービス」だけを米政府機関から徹底的に取り除くことを命じるものだ。なぜカスペルスキーがここまで特定的に避けられたのか。そこにはいくつかの理由があり、それらは互いに作用している。

まず、大手セキュリティ企業として世界に名を知られているカスペルスキーは、言うまでもなくロシアの企業である。一般論として、米国には「ロシアの諜報」を恐れる歴史的な背景があるため、ロシアの情報戦争戦略は強く警戒されている。「世界で初めて戦争にサイバーの手段を持ち込んだとされているロシア」のサイバー能力の高さは言わずもがなだ。さらに2016年の米大統領選挙にはロシア政府の関与があったと考えられており(※1)、2017年1月には米国家情報長官室が「2016年の大統領選挙を標的とする攻撃を指示したのはプーチン大統領だった」と結論付けている。

他にも「Shadow Brokers」(※2)の正体がロシアのハッカー集団なのではないかと疑われている点、そのShadow Brokersの盗み出したNSAのエクスプロイトが2017年に大流行したランサムウェアに利用された点(※3)、2016年にオバマ大統領がロシアのサイバー諜報活動に対して報復措置を行うと発表した点(※4)などが挙げられる。さらに憶測を呼びやすい理由の例として、世紀の内部告発者エドワード・スノーデンの亡命先がロシアであること、ロシアとWikiLeaksの繋がりが疑われていること、カスペルスキーCEOのユージン・カスペルスキーが「The Technical Faculty of the KGB Higher School」を卒業していることなども挙げられるだろう。

トランプ大統領とロシア政府の繋がりについては、現在も米連邦政府が調査しており、マイケル・フリン前国家安全保障担当大統領補佐官をめぐるゴタゴタもあった。こういった事件は数え上げればキリがない。それらのすべてが「とにかくロシアは怪しいので、カスペルスキーも怪しい」という安直な意見を生んだのだ、と考える人々もいるだろう。

ロシアのフェイクニュースによる世論操作」というキーワードがすっかり浸透した米国では、今年6月の時点で、米上院軍事委員会が「カスペルスキーはロシア政府の影響を受けやすい企業だ」と主張しており(PDFファイル)、「ロシアの侵略に対抗するための手段」として、政府機関におけるカスペルスキー製品の利用を禁止するよう提案していた。一方、当時のロイターの報道によれば、ロシアのニコライ・ニキフォロフ通信情報大臣は、「もしも米国がカスペルスキー製品の利用を禁じるのであれば、報復的な措置も辞さない」と地元の報道機関に語っている。
 
※1…詳しくは過去記事『米露サイバー戦争 2017 (1) 大統領選挙へのサイバー妨害活動を振り返る』と、記事内のリンクをご参照のこと。
※2…Shadow BrokersがNSAから盗み出したファイルをオンラインにダンプした事件に関しては、過去記事『ハッキング集団「Shadow Brokers」と沈黙のNSA』シリーズ、および『底知れぬ「Shadow Brokers」』シリーズをご参照のこと。
※3…過去記事『Wanna Cryに攻撃手法を提供した「Shadow Brokers」とは何者か?』および『再び世界を襲ったNSAのエクスプロイト』をご参照のこと。

元NSA職員とカスペルスキー

とりわけ「ロシアの恐怖」と「セキュリティ企業カスペルスキー」のイメージが結びつけられることになった大きな理由のひとつとして、元NSA職員Nghia Hoang Pho(ギエ・ホワン・フォー)の逮捕を挙げておきたい。Phoは近年「米NSAから情報を盗み出した米政府の職員」として逮捕された3人目の人物だ(※4)。67歳の米国人であるPhoは、TAO(※5)に所属するベテランのハッカーだったと考えられている。そのPhoの自宅のコンピューターから、カスペルスキーのソフトウェアを通して、NSAの機密データがロシアの諜報機関の手に渡ったのではないかという疑惑が持たれている。

Phoは2010年から5年間にわたり、NSAの情報をコピーして自宅に持ち帰っていたことを認めており、2017年12月の初旬に有罪判決を受けたばかりである。つまりPhoは精鋭部隊TAOのメンバーでありながら、NSAのトップシークレットにあたるサイバー兵器を自宅で保管していたという点に間違いはなさそうだ。そのPhoの自宅のコンピューターでは、カスペルスキーのセキュリティソフトウェアが使われていたという。そのため、TAOの開発した最新のサイバー兵器は、「未知のスパイウェア」として検出されることになり、その目新しいスパイウェアは「研究者がさらに分析できるようにするために」カスペルスキーのクラウドへアップロードされた(それはセキュリティソフトの仕事として不自然ではない)。だからロシアの諜報機関はカスペルスキーを通じて情報を盗むことができたのだ……という主張だ。

一方のカスペルスキーは、ロシアの諜報機関との関係をはっきり否定しており、その「検出されたもの」に気づいたあと、すぐにコピーは削除されたと主張している。また同社は、Phoのコンピューターが多数のマルウェアに感染していたことも指摘した。つまり悪意を持った何者かが、すでにPhoのコンピューターからNSAの情報を盗んでいた可能性があるという指摘だ(その何者かがロシアの諜報部隊なのかどうかはさておき)。

このPhoに関する話題は、「ロシアのハッカーがカスペルスキーの製品を利用して他国の機密データを盗んでいる」というWall Street Journalの報道、およびThe New York Timesの報道によって一気に過熱した。ただし、これらの主張は「匿名の情報提供者」らがメディアに語った話をベースとしており、それを明確に裏付ける根拠や証拠は示されていない。

このときカスペルスキーが発表した説明はここで読むことができる。しかし多くの人々は、この面倒くさくて技術的な説明を読み解こうとはしなかっただろう。カスペルスキーの長い主張を理解したうえで事実を見極めようとするよりも、「やはりロシアのセキュリティ企業は怖い」という印象に頼るほうが楽だ(※6)。

それでもカスペルスキーは、何度もロシア政府との関係を否定する説明を行ってきた(一例)。また同社CEOのユージン・カスペルスキーは「我々には何も隠すことがない、米国に求められるのであれば、喜んでソースコードを公開したい」とも語り、同社の潔白を証明させてほしいと繰り返し提案してきた。しかし結局、カスペルスキーを正式に禁止する法案は、「ロシアとの繋がりが疑われているトランプ大統領」によって署名される運びとなった。
 
※4…以前にお伝えした Harold Martinと、Reality Winnerに続いた3人目の逮捕者となる。
※5…TAO(Tailored Access Operations)は実践的なサイバー攻撃を行うNSAのエリート部隊として名高い存在。Equation Groupの正体という説が有力視されている。Equation Groupと聞いて「Shadow Brokersの情報漏洩=Equation Groupの内部犯行説」を思い出す方もいるかもしれないが、とりあえずPhoとShadow Brokersの繋がりを明確に示す情報は伝えられていないようだ。
※6…もっと真剣に考えたいが資料を探すのは面倒くさいという方には、10月11日の「tom’s guide.com」の記事を紹介したい。多面的な主張や考察が分かりやすくまとめられており、多くのアップデート情報も掲載されている。なるべく技術的な話を避け、分かりやすく短い文章のまとめを読みたいという方には10月23日のガーディアンの記事をお勧めしたい。またPhoの有罪判決に関する米司法省の説明は米司法省の公式サイトで読むことができる

カスペルスキーの訴訟と人々の反応

2018年度の防衛予算案にトランプ大統領が署名をしてから数日後の12月18日、ついにカスペルスキーは訴訟を起こした。ただし訴訟の相手は、9月に「Binding Operational Directive 17-01」を発表したDHSだ。その訴状(「The Register」によるPDFファイル)は次のように記している。

「被告(註:DHS)は原告(註:カスペルスキー)に事前の通知を行うことなく、また充分な証拠もないまま、市場をリードしているカスペルスキーのアンチウイルス製品に対し、米国の情報セキュリティにとっての『脅威、脆弱性、リスク』であるとの烙印を押した」

さらにカスペルスキーは同日18日、この訴訟に関連する声明も発表した。こちらには、より分かりやすい形で同社の説明(特に「噂レベルの憶測だけで当社のブランドが傷つけられた」という主張)が記されている。これまでのカスペルスキーが行ってきた説明と米政府の対応を考えるなら、同社の行動は妥当だとも感じられるが、今後のカスペルスキーがどのような評価を受けることになるのかは予想しがたい。

一連のニュースについて、人々の反応はまちまちだ。「カスペルスキーとロシア政府の繋がりは立証されていないが、確実に潔白だとも言い切れないだろう。国家の安全を考えるなら、少しでも疑われるものを取り除くのは当然のこと。まして相手はロシアなのだから、これまで米国の政府機関がカスペルスキーの製品を頼っていたことのほうがおかしい」という意見もある。「安直に『ロシア』を怖がる米国の市民や議員たちの機嫌をとり、その留飲を下げるために、ただの憶測だけで一企業が不当な扱いを受けてしまった。過去20年以上にわたるカスペルスキーの貢献や、今後の市場における影響を考慮するなら、米国のとった行動は差別的で軽率だった」という意見もある。また、「いま稼働しているシステムからカスペルスキーのサービスを完全に取り除くことが、どれだけ面倒くさいのか分かっているのか。他社の製品に最初からカスペルスキーの技術が組み込まれている場合はどうなるのだ。現場の担当者の苦労も考えてくれ」といった意見もおそらくあるだろう。

セキュリティ企業と「国家安全保障」の今後

今回の米国の判断をきっかけとして、「国外のセキュリティ企業の製品を利用しない方針」を推し進める国は増えるかもしれない。たとえば英国の国家サイバーセキュリティセンターも12月1日、「ロシアによる『情報へのアクセス』が国家安全保障にとってのリスクになりえると評価される状況で、英国の政府組織はロシア製のアンチウイルス製品を選ぶべきではない」「SECRET扱い、あるいはそれ以上の機密情報を処理するシステムにおいては、ロシアに拠点を置くプロバイダーは決して使用しないように」と記されたガイダンスを発表したばかりだ

そして米国から疑惑の目を向けられているロシア自身も、「欧米企業から技術的に独立する方針」を徐々に進めており、政府の組織から国外企業のIT製品(セキュリティ関連製品に限らず)を取り除こうとしてきた。このようにそれぞれの国が他国の企業の製品を疑い、その利用を禁じようとする動きは避けにくいかもしれない。なぜなら複数の国の諜報機関が、自国の利益のために他国の情報を吸い上げる目的で、時にはえげつない手法を駆使してきたという話題は、この数年間のセキュリティニュースで何度も報じられてきたからだ。

また「あのセキュリティ製品は諜報機関と繋がっているかもしれない」という疑いが生まれたとき、そのアイディアは容易に後押しできる。たとえ、その企業が自国のシギント機関と不適切な繋がりを持っていなかったとしても、「全くの無関係」でいることは不可能に近い。もともと人材の豊富な業界ではないので、諜報機関とセキュリティ企業の間に発生する協力関係や、勤務している人々のバックグラウンドなどを調査すれば、疑惑の種はいくらでも見つかりかねない。

このような状況で「自国の/同盟国の製品だけを利用したい」という考えが生まれるのは自然な流れだと言える。しかし、そういった疑念による分断が強くなればなるほど、セキュリティ業界全体の技術的な成長が阻まれる可能性もある。たとえば、新たな脆弱性やエクスプロイトの情報を世界中のセキュリティ企業が同時に共有することにより、悪質なサイバー犯罪から顧客全体を素早く保護するような試みも、次第と困難になってしまう恐れがあるだろう。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…