ハッキング集団「ShadowBrokers」と沈黙のNSA (1) 世界で最も洗練されたサイバー攻撃を行う「イクエーショングループ」が襲撃される

September 7, 2016 12:30

by 江添 佳代子

米国とロシアのサイバー諜報合戦を巡る話題が、一段と目を離せない状況になってきた。日本ではほとんど報道されない、いくつものエピソードが複雑に入り組み始めている。この話題は米露のみならず世界中のインターネットユーザーの通信監視、そして我々が普段から利用している製品の脆弱性にも関わる問題なので、なるべく分かりやすくなるように解説していきたい。

「イクエーショングループの武器」売ります

2016年8月15日、自らを「The Shadow Brokers」と名乗るハッキング団体が、ネットオークションの案内を発表した。そこには以下のような宣伝文が書き込まれていた。「政府のサイバー戦争に出資している皆さん、そこから利益を得ている皆さん、ご注目!!! サイバー兵器に、あなたはいくら払いますか？（中略）我々はイクエーショングループをハッキングしました。そして彼らの武器を山ほど発見しました」

イクエーショングループ（The Equation Group）は、世界で最も洗練されたサイバー攻撃団体のひとつとして、また世界のインフラに様々な攻撃を仕掛けるグループとして恐れられている。2015年2月、その存在を初めて報告したカスペルスキーは「おそらく、これまでに見てきたものの中で最も先進的な攻撃を行う団体」と表現している。

同社の報告によれば、彼らは14年前〜20年前ほどから、少なくとも30ヵ国のインフラ施設、政府組織、マスメディアや金融機関などを標的として、数々の高度なサイバー攻撃を行ってきた。その攻撃手法の例を挙げよう。先に示したカスペルスキーの報告書は、イクエーショングループの「HDDのファームウェアを再プログラムする攻撃」を解説した。さらに同年6月にはIntel Securityも、イクエーショングループの「HDDとSSDの両方のファームウェアを再プログラムする攻撃」を解説している。

これらの攻撃が一度成功すれば、起動のたびにマルウェアをリロードできるようになり、ドライブの再フォーマットやOSの再インストールを行っても問題を解決できない。同じコンピューターを使い続けている限りは攻撃が持続し、その検出も不可能ということになる。このように、彼らの攻撃スタイルは「よくあるサイバー攻撃」よりもはるかに高度なものである。

さらにカスペルスキーは、このイクエーショングループが「Stuxnet」に深く関連している点についても言及した。イランの核燃料施設にあるウラン濃縮用遠心分離機8400台に障害をもたらした悪名高き「Stuxnet」といえば、米NSAとイスラエル軍がイランの核開発を妨害するために開発したと指摘されているマルウェアだ。したがって、イクエーショングループとはNSAそのもの（またはNSA内の一組織、もしくはNSAと深い繋がりを持つ団体）である可能性が高いと考えられている。

参考資料：イランの核施設を破壊したサイバー兵器「Stuxnet」は、実は北朝鮮も狙っていた（1/2）

「イクエーショングループ≒NSA」と断定するのは、やや軽率かもしれない。サイバー攻撃は責任の帰属が困難であるうえ、もちろん米国政府やNSAは同グループとの関わりを認めていないからだ。しかしカスペルスキーの報告以外にも、2015年2月のロイターの取材に対する元NSA職員の証言などが示されてきたこともあって、その説が「暗黙の了解」のように語られてきたケースは決して少なくない。

つまりShadow Brokersを名乗る正体不明の団体は、「潤沢な予算と最先端のスパイ技術で世界中のユーザーの監視を試みてきた、あのNSA（あるいはNSAの関連組織）らしき団体をハッキングし、彼らの開発した武器を盗み出すのに成功した」と主張したことになる。その驚きの内容にはセキュリティ業界の重鎮たちも関心を示した（例：ミッコ・ヒッポネンのツイート。ちなみに彼は『イクエーショングループ（またの名をNSA）』と記している／暗号界のスター、ブルース・シュナイアーのブログ）。そしてShadow Brokersの名は数日の間に大きく広まることとなる。

Shadow Brokersの出品物と「サンプル」

Shadow Brokersは、そのオークションの案内をGitHubやPastebin、Tumblrなどに投稿した。これらの投稿は既に削除されているが、アーカイブは現在「archive.is」から見ることができる（GitHub、Pastebin、Tumblr）。

またImgurに投稿された画像は現在でも閲覧することができる。ここに記されている様々なディレクトリ名の中には、過去にスノーデンらが漏洩してきたNSAの機密文書に記されていたコードネームもある（一例：画像の冒頭に記された「BANANAGLEE」に関する漏洩文書）。それらを見るかぎり、ファイルの多くは特定のルーターやファイアウォールを標的とするエクスプロイト、あるいはインストレーションスクリプトや、それらに関連したファイルであることが想像された。

さて、 Shadow BrokersのTwitterアカウントの開設日が8月13日であることからも分かるとおり、彼らは唐突に現れたばかりの無名のハッキンググループである。何の実績もないハッカーが、あのイクエーショングループの大事な知財やツールを奪ったという主張は、かなり疑わしいようにも感じられるだろう。

主張を裏付ける証拠として、Shadow Brokersは盗品のコードの一部をGitHubにアップロードしていたため（一部と言っても、そのファイル数は4000ほどに上る）、それが本物なのかどうかが大きな争点となった。このニュースをいち早く伝えた英国ITメディア『The Register』は、8月15日の記事で「（Shadow Brokersが示している内容は）これまでスノーデンが暴露してきた様々なNSAのツールの名前をランダムに集めただけにも見える」というセキュリティ研究者のコメントを掲載した。また同紙は、Shadow Brokersのオークション商品の「最高入札額」が、その記事の執筆時点でたったの21ドル程度だったことも伝えている。遊びでインターネットのお祭りに参加する金額としても安すぎる。多くの人々は当初、この事件を「手間暇かけた悪ふざけ」と考えていただろう。

トップシークレットだった「16文字の識別コード」

しかし、それからShadow Brokersのファイルが詳しく調査されていくほどに「これは本物ではないのか？」というムードが次第に高まっていった。特に『The Intercept』による8月19日の報道は、Shadow Brokersの主張の信憑性を一気に高めるものだった。同紙によれば、Shadow BrokersがGitHubで公開したファイルの一つ「SecondDate-3021.exe」には、「ace02468bdf13579」という16桁の文字列が含まれていた。それはまさにNSAから盗まれたファイルであることが確認できるコードだ、と同紙は報じた。この点について少し詳しく説明しよう。

話は3年前に遡る。2013年、エドワード・スノーデンがNSAから持ち出した大量の極秘文書の中には「SECONDDATE」というプログラムのマニュアルの草案があった。「SECONDDATE」とは、大手ニュースサイトなどの無害なサイトを訪問したユーザーを「FOXACID」と呼ばれるNSAのサーバーへリダイレクトすることにより、そのユーザーのコンピューターをスキャンし、そこにマルウェアをダウンロードさせるように仕向けるためのツールだ。

このSECONDDATEに関する情報は2014年にも報じられたことがある（例：2014年3月12日のThe Interceptの記事）。しかし漏洩文書そのものは最高機密扱いとなっており、スノーデンや関係者が一般に公開したことは一度もなかった。

そして今回、The Interceptが確認した「未公開のSECONDDATEのマニュアル草案」には、SECONDDATEのデプロイ状況を確認するための手段として16桁の識別コードを追跡する方法が述べられていた。そのコード「ace02468bdf13579」は、記事が公開された2016年8月19日まで（つまりShadow Brokersがファイルを晒してから数日が経過するまで）一般には知られるはずのないものだった。それと一字も違わぬ16桁の文字列が、NSAから盗んだと主張されるファイルに含まれていたことを「単なる偶然」と考えるのは無理がある。

結局、3年前にスノーデンがNSAから持ち出した文書の裏付けで、Shadow Brokersの提示したファイルは「ほぼ間違いなくNSAから盗み出されたもの」と見なされるようになった。また一部のセキュリティ研究者は、サンプルとして公開されたファイルのエクスプロイトを実際に検証し、それらの信憑性をより強いものにした（一例：Cisco ASAシリーズのファイアウォールのゼロデイを狙ったエクスプロイト「ExtraBacon」を検証したXORcat氏によるページ）。

さらにはイクエーショングループの発見者であり名付け親でもあるカスペルスキーが、Shadow Brokersの公開したファイルに見られるRC5、RC6暗号の実装の手法を「非常に独特で珍しいもの」と説明し、イクエーショングループのマルウェアとの強い類似性があると指摘した（※）。結論として同社は次のように述べている。

「Shadow Brokersは、それがイクエーショングループに関連したデータだと主張したものの、裏付けとなる技術的な証拠を提供していなかった。（だが）非常に特異な暗号の実装が、彼らの主張を確証している」

これらの確認によって、Shadow Brokersが示したファイルの真偽にはほぼ決着がついた。しかし一連の疑惑に関してNSAが何らかのコメントを発表することはなく、またShadow Brokersが事件を煽るための燃料を投下することもなかったので、事件の犯人像、犯人の本当の動機、盗品の入手経路などは不名のまま残された。この憶測が憶測を呼ぶオークション事件は、多くの関係者を巻き込みながら様々な話題を提供していくことになる。



（第2回に続く）



※8月18日、シマンテックはこのカスペルスキーの説に異を唱えている。



注意

Shadow Brokersがアップロードしていたサンプルのコピーは現在、いくつかのウェブサイトで入手可能だが、それらは真偽が不明瞭なだけでなく、誰が何を目的として提供しているものなのかも分からないため、興味本位で近寄らないことを強くお勧めする。