グーグルは、世界で最も評価の高いサイバーセキュリティ事業を複数展開している。例えば「プロジェクト・ゼロ(Project Zero)」はまだ発見されていない強力なセキュリティ脆弱性を発見するチームであり、「脅威分析グループ(Threat Analysis Group)」は北朝鮮や中国、ロシアなどの政府が支援するハッキングに対し、直接対抗措置を取るチームだ。これら2つのチームが、最近、思いがけず大物を捕らえた。11件の強力な脆弱性を悪用してiOSやアンドロイド、ウィンドウズ・デバイスを危険にさらす、「手練れ」のハッキング集団だった。
MITテクノロジーレビューは、問題のハッカーたちが、実際には対テロ作戦を積極的に実施している欧米政府の工作員である事実を突き止めた。グーグルがその攻撃を阻止して公表すると決定したことについては、グーグル社内でも反発が起こり、米国と同盟国の諜報コミュニティ内部からも疑問の声が上がっている。
グーグルの最近のブログ記事には、9カ月にわたってハッカー集団が利用し、グーグルが発見したゼロデイ脆弱性のコレクションが詳細に記されている。2020年初頭にまでさかのぼるこれらのエクスプロイト(脆弱性を狙った悪意のあるプログラム)では未知の手法が使われた。感染したWebサイトを利用して訪問者にマルウェアを配信する「水飲み場型」と呼ばれる攻撃だったという。この攻撃が専門家の目を引いたのは、その規模や巧妙さ、速さからだ。
だが、今回のグーグルの発表では、ハッキングを実行した人物や標的などの情報だけでなく、作戦に使われたマルウェアやドメインに関する重要な技術情報など、決め手となる情報が省略されている。通常なら、こうした情報は一部であれ何らかの形で開示されるはずだ。セキュリティ専門家は、この報告書は「暗穴(dark hole)」だと批判している。
「異なる倫理上の問題」
セキュリティ企業は、友好的な政府が使用しているエクスプロイトを定期的に排除している。だが、そうした措置が公開されることはほぼない。今回の事件を受け、グーグル社員の中には対テロ作戦の任務は公開すべきではないと主張する者もいるが、公開は同社の権利の範囲内であり、ユーザーを保護し、インターネットをより安全なものにするために役立つと考える社員もいる。
グーグルの広報担当者は声明の中で、「プロジェクト・ゼロは、ゼロデイ脆弱性を発見してパッチを提供し、新型のセキュリティ脆弱性やエクスプロイトの手法について理解を深める技術研究を、研究コミュニティ向けに投稿することを目的としています」と述べている。「この研究を共有することで、より優れた防御戦略が可能になり、全ての人のセキュリティが向上すると当社は信じています。この研究の一環として発生源を特定することはしていません」。
確かに、プロジェクト・ゼロは、ハッキングの犯人として特定のグループを公式には名指ししていない。だが、このプロジェクトにも参加していたグーグルの「脅威分析グループ」は、犯人を分析している。グーグルはハッキングの背後にある政府の名前以外にも多くの詳細情報を省略しているが、まさにその情報を通じて、チームはハッカーや標的の名前を内部では把握していた。グーグルが事前に、政府関係者に対して攻撃方法を公表して止めることを通知していたかどうかは不明だ。
ただ、ある元米情報機関高官によると、欧米の作戦は見分けやすいという。
作戦について発言する権限がないとして、匿名を条件に証言した元高官は、「欧米の作戦には他の組織には見られない特徴があり、それはコードにも表れています」と述べた。「ここで、この問題における倫理的な側面が重要になります。合法的な選挙で選ばれた代議政治で、民主的な監視の下で行なわれる諜報活動や法執行活動と、権威主義的な政権による諜報活動とでは意味合いが大きく異なります」。
「欧米の作戦には、他の組織には見られない特徴があり、それはコードにも表れています」
さらに元高官は、「欧米の作戦において監視は、技術やスパイ活動に必要なノウハウ、手順のレベルで織り込まれています」と付け加えた。
グーグルは、ハッキング集団がわずか9カ月の間に11件のゼロデイ脆弱性を悪用していることを発見した。短期間のエクスプロイトとしては多い数だ。攻撃を受けたソフトウェアには、アイフォーンのサファリ(Safari)ブラウザーに加えて、アンドロイド・スマホやウインドウズ向けのクロム(Chrome)ブラウザーといったグーグル製品も多く含まれている。
だが、グーグル社内では、誰が何のためにハッキングしているかは、セキュリティの欠陥そのものに比べればそれほど重要なことではないという結論が出された。プロジェクト・ゼロのセキュリティ研究者、マディ・ストーンは、強力なゼロデイ脆弱性を見つけてそれを使うのはハッカーにとってはあまりに簡単なことだったとし、ストーンのチームはハッカーによるゼロデイ脆弱性使用の検知は困難に直面していると主張する。
グーグルは、特定の作戦の背後にいる者や標的となっている者に焦点を当てるのではなく、全ての人を対象とした広範な対策を講じることにした。脆弱性を悪用したのは今回は欧米政府だったが、いずれ他者にも利用される可能性がある。今ここでその欠陥を修正することが正しい選択である、という判断からだ。
「セキュリティ企業の仕事ではない」
欧米のサイバーセキュリティ・チームが同盟国のハッカーを捕らえたのは、もちろん今回が初めてではない。しかし、一部の企業では、セキュリティ・チームとハッカーの双方が友好的だとみなされる場合、例えば米国、英国、カナダ、オーストラリア、ニュージーランドからなる諜報同盟「ファイブ・アイズ(Five Eyes)」のメンバーである場合などには、そうしたハッキング作戦を公にしないという暗黙の方針がある。グーグルのセキュリティ・チームには欧米の諜報機関で長年働いていたベテランもおり、中にはこれらの政府のためにハッキング・キャンペーンを実行した経験を持つ者もいる。
場合によっては、セキュリティ企業がいわゆる「友好的」なマルウェアを一掃することもあるだろうが、それでもそれを公にすることは避けるだろうと考えられる。
元国防総省職員で、民間企業のサイバーセキュリティ調査に関する最新の研究論文を発表した、ランド研究所(RAND Corporation)のサシャ・ロマノスキー上級政策研究者は、「セキュリティ企業は通常、米国を拠点とした作戦については特定しません」と述べる。「そうした作戦を見つけたら身を引くようにしています。それはセキュリティ企業の仕事ではありません。予想外のことではありません」。
ある意味ではグーグルの状況は特殊だが、過去にもやや似たようなケースはあった。ロシアのサイバーセキュリティ企業であるカスペルスキーは2018年、イスラム国(ISIS)とアルカイダの中東メンバーに対する米国主導のサイバー・テロ対策作戦を暴露して非難を浴びた。カスペルスキーはグーグルと同様、脅威の要因は明確に特定しなかったが、脅威自体は暴露した。その暴露によってサイバー・テロ対策作戦が意味をなさなくなったと米当局者は述べている。結果的に、工作員は貴重な監視プログラムへのアクセスを失い、さらには現場の兵士の命まで危険にさらすことになったという。
カスペルスキーは当時すでにロシア政府との関係について厳しく批判されており、最終的に米国政府のシステムへのアクセスを禁止されてしまった。ロシア政府との関係についてカスペルスキーは、特別な関係はなにもないと常に否定し続けている。
グーグルも、以前同じようなトラブルに巻き込まれたことがある。2019年に同社は、具体的な分析は明らかにされなかったものの、米国のハッキング集団とみられる集団に関する調査結果を公開している。だが、その調査は過去の作戦に関するものだった。それに対しグーグルの最近の発表は、調査当時、実際に実行されていたサイバースパイ活動にスポットライトを当てている。
誰が守られているのか?
米政府内部でもグーグル社内でも警告の声が上がっていることから、グーグルが困難な立場にあることは分かる。
グーグルのセキュリティ・チームは、同社の顧客に対する責任を負っており、自社製品が攻撃を受けている場合、その製品、ひいてはユーザーを守るために最大限の努力を払うことが厳しく求められている。今回の事件が注目されているのは、クロムやアンドロイドといったグーグル製品だけでなく、アイフォーンにも影響を与えていたことだ。
さまざまなチームがそれぞれ独自の境界線を設ける中、プロジェクト・ゼロはグーグル製品に限らず、インターネット上のあらゆる重要な脆弱性に対処することで名声を得てきた。
最新の調査結果が発表された際に、グーグルのセキュリティ・チームで特に尊敬を集めているセキュリティ研究者のマディ・ストーンが、「ゼロデイ攻撃を困難にさせるためにチームが取っている一歩一歩が、私たち皆をより安全にしているのです」とツイッターで発言した。
一方で、顧客を攻撃から守ることは大切だが、対テロ作戦はまた別ものだという意見もある。日常的なインターネット・セキュリティを超え、人命に関わるような影響も及ぼしかねないからだ。
欧米では、国家の支援を受けたハッカーがサイバーセキュリティの欠陥を発見した場合、被害を受けた企業にセキュリティ上の欠陥を開示することで得られる潜在的なコストや、利益を算定する方法が確立されている。米国では 「脆弱性公平性プロセス(Vulnerabilities Equities Process:VEP)」と呼ばれているものだ。米国の諜報機関が大量のエクスプロイトを溜め込んでいるのではないかと懸念し、批判する声もあるが、米国のシステムは欧米の同盟国を含むほぼ全ての国よりも公式的なものであり、透明性が高く広範囲にわたっている。このプロセスの目的は、政府関係者が諜報活動に利用するためにセキュリティ上の欠陥を秘密にしておくことのメリットと、欠陥を修正させるためにテック企業に情報を伝えることのメリットとのバランスを取りやすくすることだ。
「欧米の民主主義国でも、国家安全保障機関が実際に何をしているかについての監視のレベルは、多くの場合、米国よりもはるかに低い」
2020年、米国国家情報局(NSA)は、マイクロソフト・ウインドウズの古い欠陥を明らかにしたことを自分の手柄するという異例の行動に出た。政府から産業界へのこの種の報告は通常は匿名、あるいは秘密にされることが少なくない。
だが、米国の情報システムの情報開示プロセスが不透明だったとしても、他の欧米諸国の同様のプロセスは多くの場合米国より規模が小さく、米国ほど公にしたがらなかったり、単に非公式だという理由から簡単に回避できてしまうものだ。
オバマ政権下でホワイトハウスのサイバーセキュリティ・コーディネーターを務めていたサイバー・スレート・アライアンス(Cyber Threat Alliance)のマイケル・ダニエル最高経営責任者(CEO)は、「欧米の民主主義国でも、国家安全保障機関が実際に何をしているかについての監視レベルは、多くの場合、米国よりもはるかに低いです」と述べる。
「議会による監視の度合いが、はるかに低いと言えます。これらの国には、米国のような堅牢な省庁間プロセスがありません。私は普段、米国について自慢したがるような人間ではありません。米国には多くの問題がありますが、この分野について言えば、米国には堅牢なプロセスがあります。こうしたプロセスは、他の西欧民主主義諸国にはありません」。
グーグルの調査対象となったハッキング集団がこれほど多くのゼロデイ脆弱性を、これほど急速に保有し、利用できたことから分かるのは、問題のバランスが崩れてきているかもしれないということだ。だが一方で、実行中のテロ対策サイバー作戦が決定的な瞬間に止められてしまい、すぐに再開できないという事態が起こるのではないか、と懸念する見方もある。
前出の元米国情報機関高官は、「米国の同盟国の全てが、迅速に作戦全体を再開できる能力を持っているわけではありません」と話す。特に対テロ作戦の任務においては、エクスプロイトへのアクセスを突然失ったり、標的に見つかったりする懸念が高い。中でも、多くのエクスプロイトが実行されている「信じられないほどの暴露期間」においてその傾向が強いと同高官は説明する。このような作戦を止めさせられるグーグルの能力が、さらなる対立を呼び起こす可能性は高そうだ。
同元高官は、「この問題については、まだ十分に解決されていません」と述べる。「グーグルのような会社が、あれほどの能力をあれほど短期間で台無しにできることに、人々はようやく気づき始めているところです」。