カスペルスキーの件の続報と国家の監視

「いかにしてイスラエルはロシアのハッカー達が全世界から米国の機密情報を漁っていたことを知ったのか」←今回の元記事

www.nytimes.com

イスラエルカスペルスキーをハックし、NSAにツールの流出を伝える」

www.washingtonpost.com

カスペルスキーアンチウイルス製品がいかにしてロシアのハッカー達がNSAの機密窃取を支援したか(報道)」←上記2記事の紹介、解説

arstechnica.com

先日の件の続報です。

mokake.hatenablog.com

今回は登場人物が多いので、本件での箇条書きで位置づけを書いておきます。

  • 米(NSA):機密情報を盗まれた(とされている)
  • ロシア:NSA機密情報を盗んだ(とされている)
  • カスペルスキー:ロシアの窃取を支援した(とされている)
  • イスラエル:何らかの事情でカスペルスキーの社内ネットワークに侵入した(とされている)

今回の話は、2015年から始まります。カスペルスキーの社内ネットワークにマルウェアが侵入していた、という発表がありました。このマルウェア「Duqu 2.0」は、かつてイランの核開発を遅らせようとして米国とイスラエルが共同で開発、送り込んだとされる「Stuxnet」の後継的なものといわれています。

www.itmedia.co.jp

今回のNYT(New York Times)の(匿名情報源による)報道によれば、この時の侵入者はイスラエルで、彼らは侵入先(カスペルスキー)の状況をリアルタイムで把握できていた、とのこと。この時、侵入者側が調査していたのは、国家によるサイバー攻撃(Equation Group(NSA)やRegin(英GCHQ)など)についての調査状況だったようです。

そしてこの時、イスラエル側はロシア政府がカスペルスキー製品を通じて、それをインストールした先のPC内にある機密情報を漁っていたことをつきとめ、スクリーンショットなどをNSAに提供したとのこと。

また、ワシントンポストの記事では、カスペルスキーアンチウイルス製品は、マルウェアと無関係なファイルについても「サイレント・シグネチャ(silent signatures)」をとり、「機密情報のキーワードなどを含むファイル」を検出していた、としています。さらに、この手法が「誤検出を防ぐためにサイバーセキュリティ業界で広範に使われている」とも書かれています。

同記事では、CIAの対ロシア業務経験者など(これらの部分は実名)の、カスペルスキーがロシア政府やFSB(旧KGB)の要望をはねのけることは事実上不可能だろうとするコメントも紹介しています。

さらに、silent signatresについて、WSJからさらなる続報が出ました。下記はそれを紹介するArsの記事です。

カスペルスキーアンチウイルス製品をロシアがNSAの機密を盗むのに役立つよう修正したと報じられる」

arstechnica.com

こちらも例によって匿名の米政府関係者がソースです。また、silent signaturesが導入された時期や対象範囲などの肝心な部分は記載がありません。

なお、ドイツは現状では事態を見守っているようです。

「ドイツ:カスペルスキー製品がロシアによるハッキングに使われたという話は根拠なし」

www.reuters.com

ちなみに、諜報組織による侵入も複雑になっています。ある組織が侵入したところに、さらに別の組織が入る事態が既に発生しているといわれています。これは、例えば技術力が低い組織でも、高い組織の侵入を利用してカバー範囲を広げられるなどのメリットがあります。

「スパイはハッキングする。しかし最高のスパイは他のスパイのこともハッキングする」

www.bleepingcomputer.com

ところで、アンチウイルスソフトがある意味で優秀な侵入経路になる、というのは以前からセキュリティ界隈では言われてきていることですが、その意味では、OSやファームウェアは、さらに優秀な経路になる可能性があります。例えば一部のAndroidスマートフォンに搭載されるADUPS (Shanghai Adups Technology)社のソフトが個人情報を外部に流しているという話が去年話題になりました。

www.itmedia.co.jp

www.itmedia.co.jp

また、Windows10のデータ収集も(一応範囲は公開されたものの)かなり項目が多い状態です。

さらにサービスについても、スノーデン氏がNSAの活動を明らかにしていますし、米Yahooメールは、米政府が全ての内容を検索するバックドアを設けさせられています。

www.bbc.com