THE ZERO/ONEが文春新書に!『闇ウェブ(ダークウェブ)』発売中
発刊:2016年7月21日(文藝春秋)
麻薬、児童ポルノ、偽造パスポート、偽札、個人情報、サイバー攻撃、殺人請負、武器……「秘匿通信技術」と「ビットコイン」が生みだしたサイバー空間の深海にうごめく「無法地帯」の驚愕の実態! 自分の家族や会社を守るための必読書。
米露サイバー戦争 2017 (6) デプロイされたマルウェアは、もう誰にも制御できない
January 26, 2017 09:30
by 江添 佳代子
今回は、セキュリティの専門家たちの反応を見ていきたい。まずは、世界に名を知られているサイバーセキュリティの研究者Jeffrey Carrのブログを紹介しよう。
致命的な欠陥のある取り組み
2009年の書籍「Inside Cyber Warfare: Mapping the Cyber Underworld(サイバー戦争の内側:サイバー・アンダーワールドのマッピング)」の著者であり、Taia Global社の創設者兼CEOでもあるJeffrey Carrは現在、米政府機関のコントラクターとしてロシア・中国間のサイバー戦争の相談役を勤めている立場でもある。
そのCarrが、今回の大統領声明に対する自分の見解をmediumに掲載したのは2016年12月30日、つまりグリズリー・ステップが発表された翌日のことだった。「FBI/DHS Joint Analysis Report: A Fatally Flawed Effort (FBIとDHSの共同分析報告書:致命的な欠陥のある取り組み)」というタイトルから想像できるとおり、その内容は強烈な批判である。
Jeffrey Carrの当該ブログ「FBI/DHS Joint Analysis Report: A Fatally Flawed Effort」
彼はまず、この報告書について「ロシア政府がハッキングした、またはその内容をWikileaksに配信したという証拠を何ひとつ追加してないもの」と述べ、「これは一つのサイバーセキュリティ企業(筆者注:Crowdstrike)が過去に報告した『ロシア発と疑われる脅威グループ』を列挙し、それを『RIS』の見出しの下で結びつけたものに過ぎない」と一刀両断した。ここまではロシアのメディアやロシア大使館と同じような意見だ。
しかしCarrは、さらにCrowdstrikeの研究内容と、それに依存した米国の当局者への批判を展開する。Carrが具体的に指摘した「致命的な欠陥」とは、Crowdstrikeが「X-Agent」をロシアに結びつけた部分だ。X-AgentとはFancy Bear(APT28)が利用することで知られるマルウェアの呼称で、DNCの攻撃、さらにはドイツの連邦議会に対する攻撃などの作戦でも同じものが用いられたと言われている(参照:ハッカー集団「APT 28」がドイツに対する「情報戦争」を拡大)。Crowdstrikeは、そのマルウェアについて「ロシアが開発し、ロシアだけが利用しているもの」と説明した。しかしCarrは次のように主張している。
・いったんデプロイされたマルウェアは、作成者や利用者の制御下にない。それは誰でも、何度でも繰り返しリバースエンジニアリングし、コピーし、手を加え、シェアし、再びデプロイすることができる。
・実際のところ、ESET(同じ脅威を研究した別のセキュリティ企業)は、調査の課程において「X-Agentのソースコード」を完全な形で入手することに成功していた。つまり他の誰かも同じことをした可能性がある。そのESETは、APT28(Fancy Bear)をロシアと安直に結びつけはしなかった。
・「X-Agentはロシア政府だけが使用する」というCrowdstrikeの主張は、愚かで根拠がない。今回の帰属は、「サービスとして帰属を販売すること」に偏った営利目的の民間企業のインテリジェンスに大きく依存したものである。
セキュリティ界での総スカン
Carrが示した見解は「ここまでボロクソに書いて大丈夫なのか」と心配になるほどの酷評だった。しかし彼以外のセキュリティ研究者たちが発表した数々の意見にも、容赦のない批判が綴られている。できるだけ偏りをなくしたかった筆者としては、プロたちによる「賛否」の両方を取り上げたいと考えていたのだが、それは簡単なことではなかった。
米当局や米軍に近い立場の研究者の意見を探しても、たどり着くのは目を覆いたくなるほどの批判だ(例:米空軍でサイバー戦争の問題に携わるオフィサーを勤めた経験があり、現在はDragos IncのCEOを勤めている Robert M. Leeによる見解。長さもさることながら、Carrに負けないほど手厳しい口調で具体的な欠点を論っている)。
推察ではなく物理的な証拠を重んじる研究者たちから見て、FBIとDHSの共同分析報告書の内容はあまりにも貧弱すぎたようだ。とはいえ、「米国が一連のハッキングをロシアに帰属した根拠も、同様に穴だらけだった」と断言することはできないだろう。今回の報告書は、あくまでもロシアの脅威を知らしめる目的で(表向きにはネットワーク管理者たちに警戒させる目的で)、世界に向けて広く公開されることを前提として作成されたものだ。そこに掲載されるのは、国際的な非難を浴びることのない内容でなければならない。
つまり米国の当局者たちは、実際には動かぬ証拠を握っていて、それは「誰もが閲覧できる報告書には、決して書けないような手法で取得したもの」であるのかもしれない。過去にNSAやFBIが行ってきた様々な監視や捜査のプロセスを振り返れば、このような仮説は充分に成り立つ。「我々はあくまでも被害者だ、善良な米国が邪悪なロシアに攻撃されたのだ」と世界に強調するべく、都合の悪い部分を削っていった結果、とてもセキュリティ研究者たちを満足させることができないスカスカの報告書ができあがってしまったという可能性は大いに考えられるだろう。これもまた、プロの研究者たちが嫌いそうな「単なる憶測」に過ぎないのだが。
(その7に続く)
江添 佳代子
ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約700本以上担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。
Must Popular
-
1
米露サイバー戦争 2017 (5) スタンスの違いが明確になる米英露のメディア
January 25, 2017
2
IoTのリスクマネジメントガイド役「IoT Trust Framework」の最新版が公開
January 18, 2017
3
ロサンゼルスの単科大学がランサムウェアの身代金300万円を支払う
January 25, 2017
4
2016年サイバーセキュリティ重大トピックス (8) 「セキュリティの自動化」を目指すDARPAサイバー・グランド・チャレンジが開催
January 24, 2017
5
2016年セキュリティ動向から2017年を予測
January 17, 2017
-
6
米露サイバー戦争 2017 (4) とにかくロシアに気をつけろ
January 24, 2017
7
米露サイバー戦争 2017 (3) 暗躍するグリズリー・ステップ
January 23, 2017
8
消費者はリアルな犯罪よりサイバー犯罪の方が心配
January 11, 2017
9
「KickassTorrents」オリジナルのチームのままkatcr.coドメインで復活
December 26, 2016
10
放置されたショッピングシステムが多数ハッキングされる
January 23, 2017