2019年05月07日 16時00分 セキュリティ

諜報機関のハッキングツールが敵のハッカーに分析され「再利用」されていたと判明

by Richard Patterson



各国の諜報機関はサイバー世界でも激しい争いを繰り広げており、時には独自のハッキングツールを使用して他国に攻撃を仕掛けることもあります。そんな中、中国政府と関連するとみられる「Buckeye」というハッカー組織が、アメリカ国家安全保障局(NSA)が攻撃に使用したハッキングツールを分析し、他国への攻撃に「再利用」していたことが明らかになりました。



Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak | Symantec Blogs

https://www.symantec.com/blogs/threat-intelligence/buckeye-windows-zero-day-exploit



How Chinese Spies Got the N.S.A.’s Hacking Tools, and Used Them for Attacks - The New York Times

https://www.nytimes.com/2019/05/06/us/politics/china-hacking-cyber.html



NSAは多額の資金を費やして開発したマルウェアやハッキングツールを使ったサイバー攻撃を仕掛けており、2010年に確認されたスタックスネットというマルウェアは、イランの核燃料施設にあるウラン濃縮用遠心分離機を稼働不能に陥らせるといった成果を上げています。しかし、2017年、謎のハッカー組織「Shadow Brokers」がNSAのハッキングツールを盗み出し、ネット上でリークしたことで世界中に衝撃を与えました。



リークされたハッキングツールは、ロシアや北朝鮮のハッカーによって再利用され、国際的なサイバー攻撃に使用されたとみられています。さらに、アメリカのセキュリティ企業であるシマンテックが発表したレポートによると、Shadow Brokersがハッキングツールをリークする以前から、Buckeyeという中国のハッカー組織がNSAのハッキングツールを用いた攻撃を行っていたとのこと。



Buckeyeは中国政府の支援を受けているとみられており、アメリカの宇宙、衛星、原子力推進技術などもターゲットにした攻撃を行う、非常に危険な組織です。シマンテックの研究者らは、Buckeyeがベルギー、ルクセンブルク、ベトナム、フィリピン、香港などの研究機関や教育施設などに対してNSAのハッキングツールを用いた攻撃を行ったとしています。



by Hivint-Stock-Photos



Buckeyeは、Shadow BrokersがNSAのハッキングツールをリークするよりも前の2016年3月から、NSAが開発した「Eternal Synergy」および「Double Pulsar」と呼ばれるハッキングツールに修正を施したものを使用して攻撃を行っていたとのこと。シマンテックの研究者らは、Buckeyeがどのようにハッキングツールのコードを入手したのか正確には理解していませんが、NSAがハッキングツールで攻撃を仕掛けた際にコードを盗み取った可能性が高いと考えています。



過去にも、ハッカー組織がリークしたハッキングツールが諜報機関や別のハッカー組織に採用され、攻撃が行われるといったケースは判明していました。しかし、攻撃を受けた際に相手のハッキングツールを盗み取るパターンは、これまで知られていなかったそうです。



シマンテックの研究者によると、Buckeyeは入手したNSAのハッキングツールをアメリカに対しては使用していないそうです。その理由については、「NSAが開発したハッキングツールについては、アメリカ側もすでに対策を打っていると考えている」「アメリカ側にBuckeyeがNSAのハッキングツールを入手したことを知らせたくない」といったものがあるとみられています。





NSAのようなサイバー攻撃を仕掛ける諜報機関にとって、今回シマンテックが発表した事実は非常に悪いシナリオを提示するものです。外国のハッカー組織のような敵に自らが開発した未公開のハッキングツールや未知の脆弱性を発見され、逆に悪用されてしまうリスクが現実的なものとなった以上、ハッキングツールや脆弱性を用いた攻撃を仕掛ける際に、自国や同盟国に危険をもたらす可能性を考慮しなければなりません。



実際にShadow BrokersがリークしたNSAのハッキングツールは、世界的に大流行したマルウェア「WannaCry」の基となったと考えられています。WannaCryを使った攻撃によって、イギリスの国民保健サービスが所有する7万台を超える機器や医療施設のシステムが被害を受けたほか、海運会社A.P. モラー・マースクが一時操業を停止しました。



シマンテックのセキュリティディレクターであるEric Chien氏は、NSAをはじめとする諜報機関の当局者が、自身の開発したハッキングツールが攻撃を仕掛けた際に分析され、逆に自国を脅かす可能性もあると念頭に置く必要があると指摘。また、Buckeyeに所属する3人のハッカーは2017年3月に起訴されており、Buckeyeの活動自体が沈静化したにもかかわらず、NSAから奪われたとみられるハッキングツールは2018年9月まで使用されていたとのこと。この点からChien氏は、Buckeyeに奪われたNSAのハッキングツールが、ほかのグループにも手渡された可能性があると考えています。



by Soumil Kumar

