NSAが他国のハッカーを追跡するために開発した数々のハッキングツールの存在が明らかに

by Ilya Pavlov

世界的に大流行したマルウェア「WannaCry」を生みだしたもととなるハッキングツールは、謎のハッカー組織「Shadow Brokers」がアメリカ国家安全保障局(NSA)から盗み出したものといわれています。Shadow BrokersはWannaCryが大流行する前にNSAから盗んだツールをネット上でリークしていますが、この時、多くのセキュリティ研究者が注目したのはゼロデイ攻撃を行えるツールでした。しかし、Shadow BrokersがNSAから盗んだハッキングツールにはゼロデイ攻撃を目的とするもの以外も存在し、他国のハッカーのコンピューターに感染させて監視を可能にするものもありました。

Leaked Files Show How the NSA Tracks Other Countries’ Hackers
https://theintercept.com/2018/03/06/leaked-files-show-how-nsa-tracks-other-countries-hackers/

流出したハッキングツールやスクリプトから、Shadow Brokersによってハッキングツールが盗まれた2013年、NSAが少なくとも45カ国のハッカーたちの動きを追跡していたことが明らかになっています。これらハッカーたちはAPT攻撃を行っており、いくつかの活動はその分野では広く知られたものですが、研究者ですら知らない活動も見られたとのこと。

流出したハッキングツールを作っていたのはNSAのTerritorial Dispute(TeDi)というチーム。情報筋によると、NSAが設立されたのは2007年に中国からと見られるハッカーがアメリカの軍事機関から戦闘機のデザインや機密情報を盗んだと考えられたため。TeDiは、他国からの攻撃を即座に検知し反撃するためのチームといえ、ハッキングをリアルタイムで検知し、NSAのハッカーたちに「他国のハッカーがまさに今ハッキングを試みている」と伝えることをゴールとしています。

NSAのハッカーたちがイラン・ロシア・中国などのコンピューターをハッキングするとき、NSAのハッカーたちは、同一のコンピューターに複数のハッカーがいるかどうかを知りたがります。ハッキング対象たちは、逆にNSA側のツールを盗んだり、行動を監視したり、場合によってはNSAの行動を外部に流出させたりできるため、コンピューターに複数のハッカーがいる場合にはより慎重になる必要があるからです。「相手に知られないこと」が最重要であり、同時に、「相手が何を盗んでいるのか」を知ることができるハッキングツールが開発されたわけです。

by 广博 郝

TeDiが使っていたツールの1つはAPT攻撃を行った犯人が残した「侵害を受けたシステムに残した痕跡(Indicator of Compromise／IoC)」から犯人を特定しようとするもの。ハッカー集団を特定するためにIoCを大量に集める研究者もいますが、匿名のNSA関係者によると、NSAが犯人特定に使うIoCは2～5個ほどだといいます。「特定のグループの痕跡が何千も存在するというのは大きな間違いです。TeDiのメンバーたちはAPT攻撃の犯人を特定するための2～3の痕跡を見つけることに集中します」と関係者は語りました。

NSAはIoCのデータベースを残していますが、流出した資料には「Sig1」「Sig2」といった形でしかグループの存在が記されていなかったため、研究者らは2018年現在、NSAが追跡していたハッカー集団やマルウェアの特定をしようと調査を進めています。この調査によって、まだ知られていない脅威が明らかになり、対策を練ることも可能であるためです。

その中で、NSAが追跡していたとわかっているハッカー集団のうち1つがDark Hotelと呼ばれるグループ。Dark Hotelは2014年にイランの核開発に関する交渉会議」の参加者が利用していたヨーロッパのホテルを標的とし、重要人物たちがホテルで無線LANを利用した時にAdobe Flashのアップデートに見せかけてバックドアを仕掛けるという攻撃を行ったことでその名が知られることになりました。しかし、NSAはセキュリティ・コミュニティがDark Hotelの活動に気づく3年前の2011年から、彼らが使っていたツールのいくつかを追跡していたとみられています。

一方で、NSAが追跡行動を行っていたのは自衛のためだけでなく、国外のハッカーたちが何を行い、何を盗んでいるのかを監視するためでもありました。APT攻撃を行うハッカーたちは高価なシステムを利用していることもあり、2014年にはいくつかのグループが中東の研究機関のコンピューターを利用していることがわかっています。NSAの追跡行動は、これらのグループの存在を明るみにする目的もあったとのこと。

NSAはAPTグループによるものと疑われる攻撃があると、それをデータベースに「Sig〇〇」という形で記します。もともと中国とロシアのハッカー集団が対象でしたが、時間の経過とともにイスラエルやアメリカの集団も対象に入れたとみられています。データベースに記されたもののうち、「Sig25」はDark Hotelのマルウェア「Tapaoux」で、「Sig16」はイスラエルのAPTグループが使った「Flame」、「Sig8」は「Stuxnet」の感染に使われたコンピューターの痕跡を調査するものとなっています。

by Blake Connally

場合によってはハッキングツールが協定を結んだ諜報機関のものである可能性があり、この場合、NSAが「Sig〇〇」とリストに追加しコンピューターの特定を行っているのは衝突を避けるためだと考えられます。また、NSAとイスラエルの情報機関が協力して作ったとみられているStuxnetについては2010年に広がりを見せたあとにリストに追加されていることから、関係者は「除去作業のため」だとみています。Stuxnetの存在は政府とNSAの中でもごく少数しか知らない機密情報だったため、外部に情報が流出するのを防ぐために調査が行われたわけです。オペレーションを行った担当者は上から「ハッキングツールやマルウェアが存在するかどうかを調べるように」と命じられるものの、それが何のためかは知らされないため、当の本人も大部分は謎のまま仕事を行っているとのことです。