“やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。

本日、「Notepad++」v7.3.3でアメリカの中央情報局（CIA）によるハッキングを防止する機能が追加されたことをお伝えしましたが、狙われているのは「Notepad++」だけではないようです。

Wikileaksが7日（米国時間）に公開した機密文書“Vault 7”によると、CIAはさまざまな未知の脆弱性やそれを悪用するツールを保有しているそうですが、今回「Notepad++」がターゲットとなったのはそのなかの1つ、「Fine Dining」と呼ばれているツールです。

このツールはリモートから攻撃を仕掛けるというタイプのツールではなく、捜査官が現場でターゲットのPCから情報収集を行うためのデコイツールを生成します。ターゲットから見られている状況で、ターゲットのPCへ偽のフリーソフトを仕込み、情報を収集して持ち帰る……そんなスパイ映画に出てきそうなことを本当にやるためのカスタムツールを作るのですね。

デコイツールは、主に外部ライブラリを未検証で読み込む“DLL ハイジャック”と呼ばれる脆弱性を用い、「Notepad++」や「Irfan View」、「Foxit Reader」、「Skype」などの有名ソフトへ情報収集機能を追加したものです。“Vault 7”では、以下のフリーソフトがターゲットになっていることが明らかにされています。

・Fine Dining Tool Module Lists

「Fine Dining」はこれらの有名ソフトをベースに、ツールを使うエージェントのタイプ、ターゲットによる監視の有無、対象PCの状態（OS、デスクトップかノートか、USBガードなどの防御ツールが仕込まれていないか）、何分間データ収集できるか、どんなデータを収集するか、エージェントが定期的に対象PCへアクセスできるかなどを加味して、目的のシナリオに適したデコイツールを生成します。

ターゲットになるフリーソフトは全部で24種類ありますが、「Sophos Virus Removal」などのウイルス除去ツールに偽装するケースもあるようで、なかなか巧妙ですね。きっと捜査官は「ヘイ、お前のPC、ちょっとおかしくなイカ？ オレがチェックしてやんぜ！」みたいなノリで、ターゲットのPCにこのツールを仕込むのでしょう。最近入社した、やたらPCに詳しい部下を頼りにしていたら、実はエージェントだった……なんていうケースもあるのかもしれません。

また、「Google Chrome」や「Firefox」、「Opera」などのポータブル版が使われているケースも目につきます。「Fine Dining」で生成したデコイツールは、ターゲットに監視された状況で使うことも想定されているようなので、インストール不要で利用できるポータブルアプリは目的にかなっていると言えそうです。

今回、「Notepad++」は外部ライブラリが改竄されていないかチェックしてから読み込むという機能を追加することにより、「Fine Dining」ツールで悪用されないようにしました。ほかのすべてのソフトにもこうした機構が追加されれば、「Fine Dining」のようなツールも役に立たなくなる……のかもしれません。まぁ、どうせそうなったらそうなったで、新しいスパイ手法が編み出されるのでしょうけど。