米国家安全保障局(NSA)がハッキングを受けたという報道は、どうやら本当らしい。
ハッカー集団「シャドウ・ブローカーズ」が米国政府の所有物だとするサイバースパイ道具近日中にオンラインオークションで競売にかけると表明している。偽物でないことを証明するためにネット上に無料公開されたソフトウェアを調べたところ、このソフトウェアは本物であり、米国家安全保障局(NSA)に帰属する可能性が高いことを示す検証結果が得られた。
シャドウ・ブローカーズによれば、今回公開されたソフトウェアはシスコシステムズやジュニパーネットワークスといった企業のファイアウォールシステムに侵入可能なツールを含む。犯行声明の数日後、シスコは自社のファイアウォールシステムに見つかった2点の脆弱性に修正を施すと緊急声明を発表。同社のファイアウォールには2013年からハッキングにさらされていた恐れがあるという。セキュリティ専門家によれば、スパイツールは旧式だが、中にはシスコにとって未知の脆弱性もあるようだ。
一方、ロシアのセキュリティ企業カスペルスキーもこのソフトウェアの解析に取り組んでいる。その結果、これまでに公開されたコードのなかにある特異な数学が使用されていることが判明した。そのことからソフトウェアはいわゆるイクエーション・グループに関連していると見ている。カスペルスキーは従来知られていなかったイクエーション・グループを昨年特定したが、その際にロイター通信が報じたところでは、イクエーション・グループの正体は米国家安全保障局(NSA)だ。昨年の解析結果で確認された同一の独自の数学が、今回公開されたコードにも見られる。
元NSA局員もウォール・ストリート・ジャーナルに証言した。シャドウ・ブローカーズが公開したコードは「正真正銘の本物」だろう。
これらの断片的情報から浮かんでくる疑問は、広範に用いられるネットワーク機器に影響を及ぼす脆弱性をNSAがなぜ何年にもわたって公表しなかったか、だ。情報機密の欠陥そのまま秘密にしておけるのはいつか、に関するホワイトハウスの政策に反する措置をNSAがとったのではないかとも考えられる。
シスコのバグはゼロデイ脆弱性だ。ソフトウェアの作者が解決策の特定と頒布にかけられる時間が0日なので、検出されることなくシステムへの侵入に利用できるため、ゼロデイは犯罪者やスパイ組織には有用だ。
NSAのようなハッキングを専門にする政府の組織は、秘密裏に脆弱性を蓄積し、作戦を内密に保つ。NSAは、ゼロデイを蓄積し、企業が自社製品を修復できないようにして、インターネットのセキュリティを弱めていると非難されることもある。
NSA retaining Cisco ASA 0day, like FBI not sharing Apple iPhone vuln, goes against Obama's policy & NSC guidance. Need EO & stronger process
— Jason Healey (@Jason_Healey) August 18, 2016
2013年にオバマ政権は全政府部局が従わなければならない極秘の新命令を作成した。対象は、ゼロデイ脆弱性を秘密にしておくのが合理的かどうかの判断についてだ。2014年に国家安全保障会議サイバーセキュリティ調整官マイケル・ダニエルがワイアードに語ったところでは、この命令によりNSAは特定した欠陥の大部分を公表しなければならなくなった。しかし、シャドウ・ブローカーズによる今回の流出事件が示唆するのはNSAがこれらの規則を破ったことだ、とコロンビア大学のジェイソン・ヒーリー研究員はいう。
無料公開されたこのソフトウェアが本物であることを示唆する証拠が示されても、依然として不明なことがある。シャドウ・ブローカーが売りに出しているソフトウェアに正確にはどのようなツールが隠されているかだ。最高値をつけた者が手に入れる秘密だ。
(関連記事:Ars Technica, Wall Street Journal, Wired, “Hackers Claim to Be Selling Secret U.S. Spy Software,” “Welcome to the Malware Industrial Complex“)