ハッキング集団「ShadowBrokers」と沈黙のNSA (4) ベンダー大混乱、大手ファイアウォールのゼロデイが公開

September 13, 2016 10:00
by 江添 佳代子

今回は、彼らが証拠としてオンラインに公開した大量のファイル、つまり「NSAが利用してきたと考えられてきたサイバー武器」とは、一体どのようなものだったのか、それらが我々の実生活のセキュリティにどのような影響を及ぼすのかを解説したい。

機能だけが知られていた「ファイアウォール用の武器」

Shadow Brokersがサンプルとして無料公開したデータには、イクエーショングループが開発してきたと考えられる大量のエクスプロイトやインプラントのファイルが含まれていた。それらはやや古く、主に2010年から2013年の間に作成されたもので、最も新しいファイルの日付は「2013年10月」だった。しかし、そこで利用される脆弱性が、この3年の間に修復されているかどうかは分からない。したがってセキュリティ研究者たちは、Shadow Brokersがオンラインにダンプした4000ほどのファイルの検証に取り組むこととなった。

この大量のファイルに含まれているエクスプロイトのほとんどが「大手ベンダーのファイアウォール製品」を侵害するために設計されたものだ……ということは、かなり早い段階から推察されていた。なぜならShadow Brokersの提示したファイルのディレクトリ名は、「この数年間で暴露されてきたNSAの数々の機密文書によって、すでに存在が知られていたNSAの武器のコードネーム」と対応していたからである。

たとえば、6年前にNSAが作成した「サイバー武器のカタログ（2013年に漏洩※）」は、ファイアウォール製品を攻撃するために開発された「JETPLOW」「FEEDTROUGH」「BANANAGLEE」などを紹介しており、それぞれの機能について解説していた。そして今回Shadow Brokersが公開したファイルにも、それらと同じ、あるいは短く省略されたディレクトリ名やファイル名がつけられていた。「どのような働きをするのかは知っているが、ぜひとも実物のコードを見てみたい」と考えていた専門家たちにとって、その研究は心が躍る作業だったかもしれない。

一方、それらのファイアウォール製品を製造している各ベンダーにとって、その確認の作業は気の重いものだったはずだ。自社製品を狙ったNSAのエクスプロイトが、ゼロデイを悪用していないこと、つまり「すでに機能しない攻撃ばかりであること」を願ったに違いない。

ファイアウォール製品を狙った攻撃の問題

ここで昨年に発生したHacking Teamの情報漏洩のことを思い出していただきたい（「暴かれた「Hacking Team」の実像　政府御用達『スパイウェア』製造企業はなぜ狙われたか・中編」）。この事件では、ガリレオが利用してきたAdobe製品やMicrosoft製品の脆弱性が漏洩したことにより、両社は大慌てで修復作業に追われる羽目となり、また結果としてほとんどのインターネットユーザーが影響を受けた。通常のセキュリティ対策をしているユーザーであれば、すでにパッチを受け取っているはずだ。

一方、今回の事件で公開されたのは、大手ベンダーが販売している複数のファイアウォール製品の脆弱性である。それぞれの製品は広く利用されているものだが、Adobe Flash Playerのように「ほぼ全員がデフォルトで使っている同一のツール」ではないため、Hacking Teamの事件と比較すれば影響は限定的であり、大きな問題ではない……と思われた方もいるかもしれない。

しかしファイアウォールは、言うまでもなく「安全性を強化するための製品」である。そのセキュリティ対策の脆弱性を狙ったエクスプロイトというのは、喩えるなら金庫破りの道具のようなものだ。それは非常に高度な手法であるだけでなく、金と手間をかけてデータを保護したユーザーたちのセキュリティ基盤を狙った攻撃であるため、より深刻な結果をもたらす可能性がある。

そして実際、Shadow Brokersが漏洩したファイルからはCisco、Fortinet、Juniper、Topsec、WatchGuard等の製品を狙ったエクスプロイトやインプラントが続々と確認された。もし、これらの攻撃が「2016年の現在でもゼロデイのままになっている脆弱性」を悪用するものであった場合、その製品を使っているユーザーの環境は「危険」な状態のままだ。

ここでいう「危険」とは、単に「NSAからハッキングされる可能性がある」ことを意味しているのではない。Shadow Brokersが公開したファイルを見て、そのゼロデイを素早く悪用しようと企む犯罪者がいた場合、製品のユーザーは「ベンダーがパッチを公開するまでの間、原則として、その攻撃から身を守れない」。修復を目指すベンダーと、悪用を目論む犯罪者の競争になってしまう。

あるいはShadow Brokersの事件が知られるよりも前から、NSAと同じ脆弱性に気づいていた（または同じ脆弱性の情報を購入していた）犯罪者がいたとするなら、「ユーザーが知らぬ間に、すでに彼らは攻撃を成功させてきた」という可能性もある。心配しはじめるとキリがないのだが、ともかく、それは一刻も早く対処しなければならない問題だ。

対応に追われたCisco

ネットワーク機器の最大手企業Ciscoは、同社の多くの製品（現行のCisco ASAシリーズ、旧型のCisco PIXシリーズ）に対するエクスプロイトが、Shadow Brokersの公開ファイルに存在していたことを発表した。そして同社のアドバイザリに掲載されたのは、「EPICBANANA」が標的とする脆弱性「CVE-2016-6367」と、EXTRABACONが標的とする脆弱性「CVE-2016-6366」（いずれもリモートコードの実行を引き起こす可能性がある）の2つである。

Ciscoの発表によれば、「CVE-2016-6367（深刻度：中）」は2011年に修復済であり、またCisco ASA version 8.4(3)以降の製品は何も影響を受けない。それでも顧客が安全なバージョン（いま注目を浴びているEPICBANANAの攻撃に耐えるバージョン）のソフトウェアを利用しているかどうかを確認できるようにするため、新たにアドバイザリが発表された。

一方の「CVE-2016-6366（深刻度：高）」は、完全に未知の脆弱性だった。つまりShadow Brokersのオークションによって初めて分かったゼロデイであり、これまでEXTRABACONの攻撃は有効だったということになる。

EXTRABACONは、Cisco Adaptive Security Appliance (ASA) シリーズのSNMP（Simple Network Management Protocol）に存在するオーバーフローの脆弱性を悪用し、リモートコードの実行を狙うエクスプロイトだ。このEXTRABACONについては、セキュリティ研究者のXORcat氏がShadow Brokersに公開されたファイルを利用して、いち早く複数のASA製品でのデモに成功している。またハンガリーのセキュリティ企業Silent Signalも、それが比較的新しいバージョンのASA9.2（4）上で実行できることを確認した。

Crashing ASAs with #ExtraBacon… https://t.co/sxEn33AWLI #EquationGroup #ShadowBrokers

— XORcat (@XORcat) 2016年8月19日

「＃ExtraBaconで複数のASA製品をクラッシュ……https://xorcat.net/2016/08/19/equation-group-crashing-asas-follow-up/ … #EquationGroup #ShadowBrokers」

We successfully ported EXTRABACON to ASA 9.2(4) #ShadowBrokers #Cisco pic.twitter.com/UPG6yq9Km2

— SilentSignal (@SilentSignalHU) 2016年8月23日

「我々は、ASA 9.2（4）に対するEXTRABACONを取り運ぶことに成功した。#ShadowBrokers #Cisco」

このCVE-2016-6366が発表された当初は修復が間に合っていなかったため、Ciscoのサイトには問題を検知するためのシグネチャが掲載された。その後は随時、EXTRABACONに対応した修正ファイルの発行が行われている。このCVE-2016-6366をはじめ、Shadow Brokersのオークションによって明らかとなったCisco製品の一連の脆弱性情報は現在 Ciscoのブログの特設ページにまとめられており、新たな情報も追加されている。

その他のファイアウォール製品ベンダーの対応

誌面の都合上、Shadow Brokersのオークションで判明した「Cisco以外のファイアウォールベンダー製品の脆弱性」に関しては駆け足で紹介しよう。

Fortinetは8月17日、同社製品のFortiGateに対する遠隔コード実行のエクスプロイト「EGREGIOUSBLUNDER」に関する情報を記したアドバイザリを発表し、ファームウェアの更新を促した。同社によれば、この脆弱性は2012年の時点で報告されていたものであったため、EGREGIOUSBLUNDERの影響を受けるのは2012年8月以前に公開されたFortiGateのファームウェアのみである。

WatchGuardは8月16日、ブログ「Secplicity Security Simplified」で今回の事件の問題を次のように説明した。「どうやら『ESCALATEPLOWMAN』はRapidStreamを狙ったエクスプロイトであるようだ。（中略）WatchGuardは2002年にRapidStreamを買収した。おそらく皆さんは、今回の事件で公開されたエクスプロイトが、現在のWatchGuardのFireboxやXTMにどのような影響を与えるのかに興味があるだろう。端的に言えば、その影響はない」

Juniperも8月19日に、同社のScreenOSを標的としたインプラント「FEEDTROUGH」に関する情報を掲載した（ただしFEEDTROUGHの名は記されていない）。同社は以前にも「イクエーショングループが開発したと伝えられる攻撃」の漏洩情報について対策を行ってきたものの、「実際にツールを解析できたのは今回が初めてのことなので、今後も調査を進めていく」と案内した。その後、25日の更新では「エクスプロイト可能な脆弱性が存在しないのでパッチの発行は行わないが、調査は続行する」と発表している。

Topsecの製品に関しては、ELIGIBLECANDIDATE、ELIGIBLEBOMBSHELL、ELIGIBLECONTESTANT、ELIGIBLEBACHELORの4つのエクスプロイトに脆弱性を狙われてきた可能性があるのだが、少なくとも同社による英語のアドバイザリや説明は見つけることができなかった。同社の製品は中国での人気が高い一方、世界的なシェアは僅かであるため、中国語の案内のみが行われているのかもしれない。

これまでのところ、Shadow Brokersが公開したファイルに含まれていたエクスプロイトのうち、特に深刻であることが確認されているのは、比較的新しいCiscoの製品でも影響を受ける「EXTRABACON」ということになるだろう。このEXTRABACONに対して、同社の製品を利用している世界の企業や組織は現在、どの程度の認識を持っているのか。次回は、その点から説明していきたい。
　
※NSAのサイバー武器のカタログ……なぜ諜報機関が、企業のようにカタログを作る必要があるのだ？　と疑問に思われた方もいるかもしれない。これはNSAが開発したツールをFive Eyesの加盟国に紹介する目的で作られたものと言われている（参照：「カナダが「Five Eyes」間データ共有を一部中止（前編）　注目と非難が集まる国際諜報同盟とは」）。このカタログに掲載されていた内容については、SPIEGEL ONLINEが提供している図解が分かりやすい。ただし先述のとおり、カタログが作られたのは6年前だ。現在のNSA（およびFive Eyes加盟国）が、そこに記された「武器」と同じものを利用しているとは限らない。
　
（その5に続く）