政府に国民監視用スパイウェアを販売していた会社に反撃のハッキング、400GBの内部情報がネット上に流出

by eleni boulasiki

イタリアのセキュリティ企業「Hacking Team」がハッキング攻撃を受け、400GBに上る内部資料がネット上に流出、Hacking Teamの公式Twitterアカウントは12時間にわたって乗っ取りを受け、ハッキングによって盗み出された情報のサンプル公開場所と化しました。Hacking Teamは政府や法執行機関向けにハッキング＆監視ツールを販売していて、国境なき記者団の「インターネットの敵」リストに挙げられてきた企業で、内部資料からはAdobeも把握していなかったFlashのゼロデイ脆弱性を知っていたことが明らかになっています。

Hacking Team hacked, attackers claim 400GB in dumped data | CSO Online
http://www.csoonline.com/article/2943968/data-breach/hacking-team-hacked-attackers-claim-400gb-in-dumped-data.html

Hacking Team responds to data breach, issues public threats and denials | CSO Online
http://www.csoonline.com/article/2944333/data-breach/hacking-team-responds-to-data-breach-issues-public-threats-and-denials.html

Hacking Team Breach Shows a Global Spying Firm Run Amok | WIRED
http://www.wired.com/2015/07/hacking-team-breach-shows-global-spying-firm-run-amok/

ハッキング支援ソフト会社がハッキング被害 - WSJ
http://jp.wsj.com/articles/SB10608521192908353573604581092843601846356

ニュース - 政府に監視ソフトを販売するイタリア企業がハッキング被害に：ITpro
http://itpro.nikkeibp.co.jp/atcl/news/15/070702251/

誰がHacking Teamにハッキングを仕掛けたのかは明らかになっていませんが、ハッキングで盗み出された400GBオーバーの情報はBitTorrentへと流出しました。この中には各種ソフトウェアのソースコードやメール、従業員のパスワード、顧客リストなどが含まれていました。

顧客リストにはアメリカの国防総省・FBI(連邦捜査局)・DEA(麻薬取締局)、ロシア、アゼルバイジャン、カザフスタン、サウジアラビア、アラブ首長国連邦(UAE)、バーレーン、オマーン、エジプト、スーダン、エチオピア、モロッコ、ナイジェリア、レバノン、モンゴル、韓国などが含まれていたとのこと。遠隔制御システムのライセンスを、エチオピアの情報ネットワークセキュリティ機関には100万ドル(約1億2200万円)で、国連による禁輸措置を受けているスーダンの国家情報セキュリティサービスには48万ドル(約5844万円)で販売したことが明らかになっているほか、別のソフトウェアをエジプトに5万8000ユーロ(約778万円)で販売していたこともわかっています。

ちなみに、スーダンへの販売は、スパイツールは武器とは見なされないため国連の禁輸措置の対象にはならないということで取引を行ったもの。この件に関してはHacking Teamの役員と国連との間でメールのやりとりがあり、国連はスーダンへの販売に反対していました。

プライバシー研究者のクリストファー・ソグホアン氏は「スーダンは世界で最も禁輸措置が厳しい国であり、Hacking Teamが『スーダンにも適法で販売できる』と考えていたのであれば、彼らは世界中どこででも販売を行えるでしょう」とコメント。

Privacy Internationalのエリック・キング氏も、今回のハッキングをエドワード・スノーデンによる情報暴露と同じぐらい価値のあるものだと認めた上で、「Hacking Teamがソフトウェアを売ろうとしない国なんてほとんどないでしょう」とコメントしています。

2013年の時点で、Hacking Teamがトルコにスパイ用のソフトウェアを販売し、それがアメリカに向けて使われていたことをWIREDが報じています。このとき、Hacking Teamは「正当な目的で使用する政府、および法執行機関にのみ提供している」と説明していますが、その後、モロッコとUAEで、反体制派に対して使用されたことがわかり、非難を浴びています。

American Gets Targeted by Digital Spy Tool Sold to Foreign Governments | WIRED
http://www.wired.com/2013/06/spy-tool-sold-to-governments/

では、Hacking Teamはどんなソフトウェアを販売していたのか。そのCMムービーをYouTubeで見ることができます。

Hacking Team Commercial - YouTube


ムービーは「極秘データは暗号化チャンネルで伝送されています。そして、あなたが必要としている情報は全てが伝送されているわけではありません。ターゲットはあなたが監視しているドメインの外側かもしれません」と不安を煽った上で、「受動的な監視で十分ですか？」と呼びかけています。

「ターゲットをハックしなければ」

ターゲットがブラウジングしているとき、文書の交換をしているとき、SMSを受け取ったとき、国境を越えたとき……「ハックしたい」という状況はいろいろあります。

また、その対象もスカイプや暗号化された電話、ターゲットの場所、メッセージの内容、交友関係、ブラウジングの中身、音と映像、など様々。

かつ、保護システムから逃れ、情報収集のインフラが隠されていること。

そういったことがHacking Teamならできます。

政府機関による情報傍受用のハッキング・スイート、リモートコントロールシステム「ダ・ヴィンチ(Da Vinci)」のCM映像でした。

なお、スパイウェアだけでもかなり迷惑な話なのですが、今回Hacking Teamから漏れた情報の中には、Adobeが未修正のFlashのゼロデイ脆弱性が含まれていました。記事を作成した2015年7月8日18時時点では、Adobeによる情報やパッチはまだ公開されていないため、脆弱性について不安がある場合にはAdobe Flashを一時的に無効にするようシマンテックが呼びかけています。

漏えいした Flash のゼロデイ脆弱性に、攻撃者による悪用の恐れ | Symantec Connect Community
http://www.symantec.com/connect/blogs/flash

これでもまだ400GBのデータはすべてが解読されたわけではありません。残されたデータの中には、いったいどんな「爆弾」が隠れているのか……。