<米国家安全保障局(NSA)のエリート部隊で構成されると思われている天才ハッカー集団Equation Groupが先週末、ハッカー被害に遭った。攻撃した「シャドーブローカーズ」は盗んだハッキングツールを公開し、価値のあるものはオークションにかけると言っている。盗まれたツールのなかには米国内外の多くの企業や個人を危険に晒すものもあり、NSAのやり方にも改めて批判が集まっている>
まるでハリウッド映画に登場しそうな現存のハッカー集団といえば「EquationGroup(イクエージョングループ)」だ。世界で最も複雑で巧妙な技術を駆使し、世界中の政府や企業に次々とサイバー攻撃を仕掛けることで知られる。昨年ロシアの情報セキュリティー大手カスペルスキー研究所が初めて存在を突き止めるまで14年間、その存在さえ知られていなかった謎の天才ハッカー集団だ。その正体は米国家安全保障局(NSA)だというのがもっぱらの噂で、NSAのエリート部門TAO(Tailored Access Operations unit)をベースに活動している可能性が高いとされる。
ところが先週末、そのイクエージョングループが、ハッキングの被害に遭ったというニュースが世界を駆け巡った。「シャドーブローカーズ」と名乗るハッカー集団が、イクエージョングループがハッキングに使う攻撃ソフトやコンピューターウィルスの情報を流出させ、一部のファイルをネット上に公開した。とくに付加価値の高いソフトウエアについては、ネット上で入札を実施して最高額の落札者に売却すると呼びかけた。
【参考記事】パソコン一台で航空機を乗っ取り?
米政府は流出したとされるファイルの信ぴょう性を認めていないが、NSAの元ハッカーら情報セキュリティーの専門家は、本物という意見で概ね一致している。事実、それらのファイルには、米通信機器大手シスコシステムズ製のルーターのネットワーク上の脆弱さを突いて、修正プログラムが普及する前に攻撃を仕掛ける「ゼロ攻撃」を可能にする「エクストラベーコン」と呼ばれる暗号鍵も含まれていた。
【参考記事】エドワード・スノーデンはどうしてNSAを裏切ったのか?
特に懸念されるのは、流出したファイルが2013年以降に作成されたものであることから、シャドーブローカーズや彼らが公開したファイルを入手した不特定の集団や個人が最長で3年間、政府や企業の機密ネットワークに自由に侵入できる状態にあったという点だ。
犯人はNSA内部にいる?
シャドーブローカーズが公表したファイルのリーク元について、現時点で最も有力な説は、イクエージョングループがサイバー攻撃を仕掛ける際に使う「テストサーバー」に侵入可能なNSA内部の関係者か、外国の情報機関による仕業だという見方だ。
【参考記事】スノーデンが暴いた米英の「特別な関係」、さらに深まる
2013年にNSAが極秘裏に大量の個人情報を収集していることを暴露して訴追され、ロシアに亡命中の米中央情報局(CIA)の元職員エドワード・スノーデンによると、以前にもNSAのサーバーは外国のハッカー集団によるサイバー攻撃を受けたことがあった。ただしNSAを攻撃したハッカー集団がその事実を公表したのは、今回が初めてだ。
シャドーブローカーズの正体や動機が何であれ、この事件は米政府の情報セキュリティー政策に関する明確な教訓を提示した。1つ目の教訓は、セキュリティーの脆弱性を開示する「脆弱性公平プロセス(通称VEP)」を取り巻く懸念だ。VEPは、米政府の情報機関がサイバーセキュリティ―上のシステムの弱点を発見した際、欠陥を修復するようシステム開発者へ通知するかどうか、またどのタイミングで通知するかの手順を定めたものだ。
2014年、米政府のサイバーセキュリティ―調整官を務めるマイケル・ダニエルはホワイトハウスの公式ブログで、同プロセスは脆弱性の積極的な開示を強く支持するものだという米政府の見解を強調した。「インターネットに山のような脆弱性があると分かっていながら開示せず、問題を放置して国民の身を危険にさらすことは、アメリカの安全保障上の利益にならない」
しかしそれを言うなら、あらゆる基準に照らして最も開示されるべきだったのがシスコの脆弱性だった。NSAはそこから、エクストラベーコンを使ってネットワークに侵入していた。それはかなり大きな欠陥で、ネットワークのすべてのトラフィックを監視できる。シスコは世界最大級の通信機器メーカーなので、その製品がハッキングされれば、アメリカと外国の膨大な数の企業が攻撃対象になる。
NSAでさえ秘密の盗難を防げない
だからこそ、NSAにとってエクストラベーコンは価値の高いものだった。そして一時的にでもそれを使いたい誘惑も強かっただろう。その決断は、最初は正しかったのかもしれない。だが、3年の間、シスコにそれを通知しなかったことは言い訳のしようがない。その結果、シスコだけでなくシスコの顧客までが、いつ悪意のハッカーに襲われるかわからない状態にある(シスコはまだ修正パッチを出していない)。もし襲われれば、企業活動が麻痺するのは必至だ。
このハッキング事件はまた、暗号化されたソフトやサービスにも裏口を作って、いざというときFBIやCIAのような「正義の味方」が犯罪者やテロリストの通信履歴を調べられるようにするべきだ、という政府の言い分も怪しいものだと思わせる。
もしNSAでさえ自らのハッキングツールを守れないなら、専門家でないFBIやCIAが「裏口」をハッカーたちから守れるだろうか。ハッカーたちにばれてしまえば、彼らはその裏口から数百万という他のユーザーのアカウントに侵入するだろう。イクエージョングループのハッキングは、それを雄弁に物語っている。一度裏口を作ったら、そこを通るのは善人だけだとは決して保証できないのだ。
This article originally appeared on the Cato Institute site.
Julian Sanchez is a senior fellow at the Cato Institute.
ジュリアン・サンチェス(米ケイトー研究所上級研究員)
まるでハリウッド映画に登場しそうな現存のハッカー集団といえば「EquationGroup(イクエージョングループ)」だ。世界で最も複雑で巧妙な技術を駆使し、世界中の政府や企業に次々とサイバー攻撃を仕掛けることで知られる。昨年ロシアの情報セキュリティー大手カスペルスキー研究所が初めて存在を突き止めるまで14年間、その存在さえ知られていなかった謎の天才ハッカー集団だ。その正体は米国家安全保障局(NSA)だというのがもっぱらの噂で、NSAのエリート部門TAO(Tailored Access Operations unit)をベースに活動している可能性が高いとされる。
ところが先週末、そのイクエージョングループが、ハッキングの被害に遭ったというニュースが世界を駆け巡った。「シャドーブローカーズ」と名乗るハッカー集団が、イクエージョングループがハッキングに使う攻撃ソフトやコンピューターウィルスの情報を流出させ、一部のファイルをネット上に公開した。とくに付加価値の高いソフトウエアについては、ネット上で入札を実施して最高額の落札者に売却すると呼びかけた。
【参考記事】パソコン一台で航空機を乗っ取り?
米政府は流出したとされるファイルの信ぴょう性を認めていないが、NSAの元ハッカーら情報セキュリティーの専門家は、本物という意見で概ね一致している。事実、それらのファイルには、米通信機器大手シスコシステムズ製のルーターのネットワーク上の脆弱さを突いて、修正プログラムが普及する前に攻撃を仕掛ける「ゼロ攻撃」を可能にする「エクストラベーコン」と呼ばれる暗号鍵も含まれていた。
【参考記事】エドワード・スノーデンはどうしてNSAを裏切ったのか?
特に懸念されるのは、流出したファイルが2013年以降に作成されたものであることから、シャドーブローカーズや彼らが公開したファイルを入手した不特定の集団や個人が最長で3年間、政府や企業の機密ネットワークに自由に侵入できる状態にあったという点だ。
犯人はNSA内部にいる?
シャドーブローカーズが公表したファイルのリーク元について、現時点で最も有力な説は、イクエージョングループがサイバー攻撃を仕掛ける際に使う「テストサーバー」に侵入可能なNSA内部の関係者か、外国の情報機関による仕業だという見方だ。
【参考記事】スノーデンが暴いた米英の「特別な関係」、さらに深まる
2013年にNSAが極秘裏に大量の個人情報を収集していることを暴露して訴追され、ロシアに亡命中の米中央情報局(CIA)の元職員エドワード・スノーデンによると、以前にもNSAのサーバーは外国のハッカー集団によるサイバー攻撃を受けたことがあった。ただしNSAを攻撃したハッカー集団がその事実を公表したのは、今回が初めてだ。
シャドーブローカーズの正体や動機が何であれ、この事件は米政府の情報セキュリティー政策に関する明確な教訓を提示した。1つ目の教訓は、セキュリティーの脆弱性を開示する「脆弱性公平プロセス(通称VEP)」を取り巻く懸念だ。VEPは、米政府の情報機関がサイバーセキュリティ―上のシステムの弱点を発見した際、欠陥を修復するようシステム開発者へ通知するかどうか、またどのタイミングで通知するかの手順を定めたものだ。
2014年、米政府のサイバーセキュリティ―調整官を務めるマイケル・ダニエルはホワイトハウスの公式ブログで、同プロセスは脆弱性の積極的な開示を強く支持するものだという米政府の見解を強調した。「インターネットに山のような脆弱性があると分かっていながら開示せず、問題を放置して国民の身を危険にさらすことは、アメリカの安全保障上の利益にならない」
しかしそれを言うなら、あらゆる基準に照らして最も開示されるべきだったのがシスコの脆弱性だった。NSAはそこから、エクストラベーコンを使ってネットワークに侵入していた。それはかなり大きな欠陥で、ネットワークのすべてのトラフィックを監視できる。シスコは世界最大級の通信機器メーカーなので、その製品がハッキングされれば、アメリカと外国の膨大な数の企業が攻撃対象になる。
NSAでさえ秘密の盗難を防げない
だからこそ、NSAにとってエクストラベーコンは価値の高いものだった。そして一時的にでもそれを使いたい誘惑も強かっただろう。その決断は、最初は正しかったのかもしれない。だが、3年の間、シスコにそれを通知しなかったことは言い訳のしようがない。その結果、シスコだけでなくシスコの顧客までが、いつ悪意のハッカーに襲われるかわからない状態にある(シスコはまだ修正パッチを出していない)。もし襲われれば、企業活動が麻痺するのは必至だ。
このハッキング事件はまた、暗号化されたソフトやサービスにも裏口を作って、いざというときFBIやCIAのような「正義の味方」が犯罪者やテロリストの通信履歴を調べられるようにするべきだ、という政府の言い分も怪しいものだと思わせる。
もしNSAでさえ自らのハッキングツールを守れないなら、専門家でないFBIやCIAが「裏口」をハッカーたちから守れるだろうか。ハッカーたちにばれてしまえば、彼らはその裏口から数百万という他のユーザーのアカウントに侵入するだろう。イクエージョングループのハッキングは、それを雄弁に物語っている。一度裏口を作ったら、そこを通るのは善人だけだとは決して保証できないのだ。
This article originally appeared on the Cato Institute site.
Julian Sanchez is a senior fellow at the Cato Institute.
ジュリアン・サンチェス(米ケイトー研究所上級研究員)