ウィキリークスが木曜日に公開した情報漏洩によると、CIAはハッキングの標的から機密データをより簡単に抜き出すためにカスペルスキー研究所を装うコードを書いたという。
CIAが開発した悪意あるインプラントを「認証」するために、偽造デジタル証明書が使用されたと報じられている。ウィキリークスは次のように述べている。
カスペルスキー研究所の最高経営責任者(CEO)であるユージン・カスペルスキー氏は、顧客への安心を求めた。「Vault 8に関する報告を調査した結果、当社の名義の証明書は偽物であることを確認しました。当社の顧客、秘密鍵、そしてサービスは安全であり、影響を受けません」と述べた。
ハッカーは、セキュリティスキャナをすり抜けてマルウェアを密かに持ち込むために、デジタル証明書を悪用するケースが増えています。マルウェアを仕掛ける犯罪者は、コード署名証明書を掌握している必要すらないかもしれません。メリーランド大学のセキュリティ研究者は、正規のファイルから認証コード署名を既知のマルウェアサンプルにコピーするだけで(結果として無効な署名が生成されます)、ウイルス対策製品がマルウェアを検出できなくなる可能性があることを発見しました。
CIAの無料チュートリアルでクライアントサーバーCプログラミングを学びましょう
続きを読む
独立系の専門家は、CIA がカスペルスキー社を利用したのは、同社が広く知られたベンダーだからだと見ている。
セキュリティ研究者で業界誌Virus Bulletinの編集者でもあるマルティン・グローテン氏は、「CIAはC&C通信の認証にクライアント証明書が必要だったが、CIAと関連付けることができず、『カスペルスキー』という名前を使った。おそらく、広く使われている名前が必要だったからだろう。認証局(CA)のハッキングや暗号解読は関係ない。巧妙なやり方だが、衝撃的ではない。カスペルスキーを狙ったものではない」と述べた。
米国の諜報機関によるデジタル証明書の悪用に関する暴露は、以前に報道された通り、ウィキリークスがHiveと呼ばれるマルウェア制御システムのCIAのソースコードとログを公開したことと時を同じくして起こった。
セキュリティ専門家のアラン・ウッドワード教授は、Equation Group(NSAのハッキング部隊)とShadow Brokersによるリークに言及し、今回の公開を批判した。「ウィキリークスは今、Vault 7のエクスプロイトのソースを公開している。前回、このようなエクスプロイトコードがリークされた際に何が起きたか覚えているのだろうか? 再びWannaCryの脅威にさらされるだろう。」®
