セキュリティ

諜報機関のハッキングツールが敵のハッカーに分析され「再利用」されていたと判明

by Richard Patterson

各国の諜報機関はサイバー世界でも激しい争いを繰り広げており、時には独自のハッキングツールを使用して他国に攻撃を仕掛けることもあります。そんな中、中国政府と関連するとみられる「Buckeye」というハッカー組織が、アメリカ国家安全保障局(NSA)が攻撃に使用したハッキングツールを分析し、他国への攻撃に「再利用」していたことが明らかになりました。

Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak | Symantec Blogs
https://www.symantec.com/blogs/threat-intelligence/buckeye-windows-zero-day-exploit

How Chinese Spies Got the N.S.A.’s Hacking Tools, and Used Them for Attacks - The New York Times
https://www.nytimes.com/2019/05/06/us/politics/china-hacking-cyber.html

NSAは多額の資金を費やして開発したマルウェアやハッキングツールを使ったサイバー攻撃を仕掛けており、2010年に確認されたスタックスネットというマルウェアは、イランの核燃料施設にあるウラン濃縮用遠心分離機を稼働不能に陥らせるといった成果を上げています。しかし、2017年、謎のハッカー組織「Shadow Brokers」がNSAのハッキングツールを盗み出し、ネット上でリークしたことで世界中に衝撃を与えました。

リークされたハッキングツールは、ロシアや北朝鮮のハッカーによって再利用され、国際的なサイバー攻撃に使用されたとみられています。さらに、アメリカのセキュリティ企業であるシマンテックが発表したレポートによると、Shadow Brokersがハッキングツールをリークする以前から、Buckeyeという中国のハッカー組織がNSAのハッキングツールを用いた攻撃を行っていたとのこと。

Buckeyeは中国政府の支援を受けているとみられており、アメリカの宇宙、衛星、原子力推進技術などもターゲットにした攻撃を行う、非常に危険な組織です。シマンテックの研究者らは、Buckeyeがベルギー、ルクセンブルク、ベトナム、フィリピン、香港などの研究機関や教育施設などに対してNSAのハッキングツールを用いた攻撃を行ったとしています。

by Hivint-Stock-Photos

Buckeyeは、Shadow BrokersがNSAのハッキングツールをリークするよりも前の2016年3月から、NSAが開発した「Eternal Synergy」および「Double Pulsar」と呼ばれるハッキングツールに修正を施したものを使用して攻撃を行っていたとのこと。シマンテックの研究者らは、Buckeyeがどのようにハッキングツールのコードを入手したのか正確には理解していませんが、NSAがハッキングツールで攻撃を仕掛けた際にコードを盗み取った可能性が高いと考えています。

過去にも、ハッカー組織がリークしたハッキングツールが諜報機関や別のハッカー組織に採用され、攻撃が行われるといったケースは判明していました。しかし、攻撃を受けた際に相手のハッキングツールを盗み取るパターンは、これまで知られていなかったそうです。

シマンテックの研究者によると、Buckeyeは入手したNSAのハッキングツールをアメリカに対しては使用していないそうです。その理由については、「NSAが開発したハッキングツールについては、アメリカ側もすでに対策を打っていると考えている」「アメリカ側にBuckeyeがNSAのハッキングツールを入手したことを知らせたくない」といったものがあるとみられています。


NSAのようなサイバー攻撃を仕掛ける諜報機関にとって、今回シマンテックが発表した事実は非常に悪いシナリオを提示するものです。外国のハッカー組織のような敵に自らが開発した未公開のハッキングツールや未知の脆弱性を発見され、逆に悪用されてしまうリスクが現実的なものとなった以上、ハッキングツールや脆弱性を用いた攻撃を仕掛ける際に、自国や同盟国に危険をもたらす可能性を考慮しなければなりません。

実際にShadow BrokersがリークしたNSAのハッキングツールは、世界的に大流行したマルウェア「WannaCry」の基となったと考えられています。WannaCryを使った攻撃によって、イギリスの国民保健サービスが所有する7万台を超える機器や医療施設のシステムが被害を受けたほか、海運会社A.P. モラー・マースクが一時操業を停止しました。

シマンテックのセキュリティディレクターであるEric Chien氏は、NSAをはじめとする諜報機関の当局者が、自身の開発したハッキングツールが攻撃を仕掛けた際に分析され、逆に自国を脅かす可能性もあると念頭に置く必要があると指摘。また、Buckeyeに所属する3人のハッカーは2017年3月に起訴されており、Buckeyeの活動自体が沈静化したにもかかわらず、NSAから奪われたとみられるハッキングツールは2018年9月まで使用されていたとのこと。この点からChien氏は、Buckeyeに奪われたNSAのハッキングツールが、ほかのグループにも手渡された可能性があると考えています。

by Soumil Kumar

この記事のタイトルとURLをコピーする

・関連記事
NSAが他国のハッカーを追跡するために開発した数々のハッキングツールの存在が明らかに - GIGAZINE

NSAの機密情報を盗み出したロシアのハッキング解明にはイスラエルが貢献 - GIGAZINE

ロシアのハッカーがカスペルスキーのウイルス対策ソフトを使ってNSAの機密情報を盗み出したと判明 - GIGAZINE

中国政府関連ハッカー組織がIBMやHPのネットワークにサイバー攻撃を仕掛け顧客企業のPCにも侵入していたと判明 - GIGAZINE

中国がアメリカとの「サイバー協定」締結後も繰り返しサイバー攻撃を行っていることが発覚 - GIGAZINE

ロシアのサイバー攻撃の手口とその防衛方法を記した警戒情報をアメリカ政府機関が発表 - GIGAZINE

北朝鮮のハッカー集団が数百億円もの現金を世界中の銀行から不正に引き出していたことが判明 - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.