匿名の情報筋によると、ロシア政府のスパイはカスペルスキー社のソフトウェアを使用して、NSA職員の自宅のPCから極秘のソフトウェア脆弱性を抽出したという。
ウォール・ストリート・ジャーナルの情報筋によると、この不器用なスパイは、機密コード、文書、その他の資料を自宅に持ち帰り、カスペルスキーのアンチウイルスソフトが動作していた自分のパソコンで作業するという規則違反を犯したという。クレムリンのハッカーたちは、何らかの方法でこのセキュリティソフトを悪用し、これらの機密ファイルを特定して持ち出したとされている。
実質的には、ロシア政府がNSAのツールのコピーを保有していることを意味します。これらのツールは、コンピュータシステムや機器の脆弱性を悪用して他国や標的をスパイするために使用されています。また、ロシアはこれらのサイバー兵器をアメリカの企業、政府機関、その他のネットワークに向け、機密情報を盗み出し、大混乱を引き起こすなど、様々な活動を行うことも可能になります。
本日報じられた盗難は2015年に発生したとされていますが、どうやら今年初めまで発覚していなかったようです。盗まれたとされるNSAのコードと文書は、シャドウ・ブローカーズが盗んだNSAスパイウェアのアーカイブと酷似しています。しかし、このブローカーが盗んだエクスプロイトは2013年にまで遡ります。
また、この事件は、ブーズ・アレン・ハミルトンの元契約社員ハロルド・トーマス・マーティン3世(NSAの機密資料を研究目的で自宅に隠匿していた)とは関係がないと考えられています。マーティンは2月に起訴され、有罪判決を受けた場合、雇用主の職場から極秘ファイルを持ち出した罪で懲役刑に処せられる可能性があります。マーティンは不正行為を否認しています。
NSAの広報担当者は「情報の信憑性に関わらず、NSAは関連組織や人事に関することについて決してコメントしない方針だ」と述べた。
ほぼすべてのセキュリティソフトウェアと同様に、カスペルスキーのソフトウェアはコンピューター上のファイルをスキャンし、既知のマルウェアに一致するもの、または悪意のあるコードのように動作するプログラムを探します。ウイルス対策パッケージが従業員のNSAコードを検査のためにクラウドサービスに送信したことで内部アラームが作動し、ロシアのスパイの注意を引いたのかもしれません。あるいは、製品が改ざんされてPCにバックドアが開かれたのかもしれません。あるいは、ソフトウェアがリモートから悪用されてアクセスされたのかもしれません。
国土安全保障省がカスペルスキー研究所に先制禁止措置を講じる
続きを読む
WSJの情報筋は、カスペルスキーが職員のコンピュータのハッキングに積極的に関与していたかどうか、またプーチン大統領のスパイがセキュリティソフトウェアの脆弱性を悪用して、公開された文書を密かに盗み出したかどうかについては言及していない。ウイルス対策パッケージには、ハッカーが悪用できる脆弱性が数多く存在することを忘れてはならない。
ロシア法の下では、クレムリンがカスペルスキーのスタッフに、標的のコンピュータを乗っ取り、その内容を抜き出すよう指示した可能性もある。カスペルスキーは、不正行為やエクスプロイトの盗難への直接的な関与を否定している。
「カスペルスキー研究所は、2017年10月5日にウォール・ストリート・ジャーナルが報じた事件への同社の関与を立証する証拠を一切提供されておらず、証明されていない主張の報道が同社に対する非難を永続させ続けているのは残念だ」とモスクワを拠点とするこの企業はザ・レジスター紙への声明で述べた。
「民間企業であるカスペルスキー研究所は、ロシアを含むいかなる政府とも不適切な関係を持っておらず、唯一の結論は、カスペルスキー研究所が地政学的な争いの真っ只中に巻き込まれているということのようです。
「カスペルスキー研究所の製品はサイバーセキュリティ業界の厳格な基準に準拠しており、保護対象システムに対するアクセスと権限は米国および世界中の他の一般的なセキュリティベンダーと同等のレベルです。」
同組織の創設者ユージン・カスペルスキー氏はさらに率直で、今日の暴露がネット上に出る前に次のようにツイートしている。
新たな陰謀論、匿名の情報源によるメディア報道が近々登場します。サイバー脅威との戦いにおいて、私たちは決して積極的に行動することをお詫びしません。
— ユージン・カスペルスキー (@e_kaspersky) 2017年10月5日
カスペルスキー社は、約1年前にロシアの情報機関と協力していたという疑惑が浮上して以来、バックドアの有無を調査するため、政府関係者にソースコードを繰り返し提供してきました。しかし、コードが侵害されたという主張について、これまで一切の証拠が公表されていません。しかし、米国政府は先月、カスペルスキー社のコードを連邦政府のコンピューターから禁止しました。アメリカの家電量販店ベスト・バイもこれに追随しました。
どのようにエクスプロイトが漏洩したにせよ、別の NSA 職員が機密資料を持ち帰ったことがきっかけだったことを忘れてはならない。
「相手がこちらの戦略を読まれている時に勝つのははるかに困難だ。ましてや味方の誰かがそれを相手に与えてしまったら、なおさらだ。もしこれらの報道が事実なら、ロシアはそれをやってのけたことになる」と、上院軍事委員会の委員であるベン・サッセ上院議員(ネブラスカ州選出、共和党)は述べた。
「米国の諜報機関の職員は皆愛国者だ。しかし、NSAは現実を直視し、請負業者問題を解決する必要がある。ロシアはサイバー空間における明確な敵であり、このような自滅行為は許されない。」
英国のセキュリティ企業Hacker Houseの共同創業者、マシュー・ヒッキー氏はThe Registerに対し、カスペルスキー社に罪はない可能性があり、同セキュリティソフトウェアは単に本来の役割を果たしていただけだと語った。ロシアのソフトウェアメーカーであるカスペルスキー社は2014年からNSA関連のマルウェアを実環境で検知しており、今回の件との関連性はそこにある可能性がある。
アンチウイルスソフトが、自宅のPC上でアメリカ政府の強力なエクスプロイトコードサンプルを検知し、カスペルスキーの顧客に、ひょっとするとロシアの安全保障機関であるFSBにまで警告を発した可能性があります。この警告を受けて、ロシアのエージェントはNSA職員のマシンを追跡し、遠隔操作で乗っ取った可能性があります。ユージン氏は本日のブログ投稿で、アンチウイルスソフトによって新たな悪質なソフトウェアが発見された場合、すべての顧客に警告を発していると述べています。
KasperskyとNSAのエクスプロイト漏洩事件について。@e_kasperskyによると、検出されたマルウェアは*すべての*クライアントにフラグが付けられるとのこと。すべてです。https://t.co/bt0h7hvmVE pic.twitter.com/5CImW1t6PF
— The Register (@TheRegister) 2017年10月6日
カスペルスキー社はFSBにもリアルタイム分析を提供している。つまり、このソフトウェアは、NSA職員の自宅のパソコンに厳重に警備された西側諸国の攻撃コードが存在することを、クレムリンに自動的に知らせた可能性がある。
「FSBが請負業者の自宅のコンピュータを攻撃対象としたのには、カスペルスキー社によるNSAツールの検出が何らかの形で影響している可能性が高いが、だからといって同社が共謀していたわけではない」とヒッキー氏は語った。
カスペルスキーは、NSAのツールの多くが実際に使用されていることを検知しており、FSBもそれを確実に把握し、その理由だけで同社を標的にするでしょう。カスペルスキーの声明は容赦なく、政府と協力していないことを明確に示しています。私は彼らの言うことを信じています。同社のソフトウェアは新たな脅威の検知において最高レベルであり、回避が非常に困難であることで知られています。
ヒッキー氏は、カスペルスキーが自社のソフトウェアに意図的にバックドアを仕掛け、その鍵をプーチン大統領の諜報機関に渡し、ロシア情報機関に便宜を図るために数十億ドル規模のビジネスを危険にさらした可能性もあると述べた。オッカムの剃刀の原理に従えば、これはあり得ないだろう。
一方、サイバーセキュリティ専門家の「Pwn all the Things」ことマット・テイト氏は、さらに危険なNSAのツールがアメリカの極秘監視機関から逃れたという恥ずかしい主張に焦点を当てるべきだと述べた。
正直に言うと、これはカスペルスキー社がロシア政府のために監視を行っているというよりは、APT の基本的な追跡を行っているように聞こえます。
— Pwn ██ ██ ███ (b)(5) (@pwnallthethings) 2017年10月5日
しかし、それが単に NSA のインプラントと NSA のエクスプロイトの署名であるならば、これはカスペルスキーが単に職務を遂行しているだけであり、決してカスペルスキーとロシアの関係ではありません。
— Pwn ██ ██ ███ (b)(5) (@pwnallthethings) 2017年10月5日
いずれにしても、
— Pwn ██ ██ ███ (b)(5) (@pwnallthethings) 2017年10月5日
A) NSAツールを削除して自宅に持ち帰る、
B) インターネットに接続されたコンピュータに持ち帰る、
C) クラウドAVを実行する、
D) カスペルスキーとは
このニュースが「カスペルスキーロシアの何か何か」というニュースとして報道されていて、「NSAからのもう一つの請負業者による窃盗」というニュースではないことに少し戸惑っている。
— Pwn ██ ██ ███ (b)(5) (@pwnallthethings) 2017年10月5日
しかし、議会でカスペルスキー社を最も声高に批判する一人、ジーン・シャヒーン上院議員(民主党、ニューハンプシャー州選出)は、この件についてほとんど疑念を抱いていない。彼女は強い言葉で声明を発表し、同社を非難するとともに、トランプ政権に対し、この件に関する証拠を機密解除し公開するよう求めた。
「カスペルスキーとクレムリンの強い結びつきは極めて憂慮すべきものであり、すでにかなり前から十分に文書化されている」と彼女は本日述べた。「ロシア政府が米国に危害を加えるためにこの手段を今もなお保有していることは、驚くべきことであり、深く憂慮すべきことだ。」®
追記:ワシントン・ポスト紙によると、NSAの職員は当初考えられていた契約社員ではなく、ベトナム生まれの米国人だったという。NSAのエースハッカーチーム「テイラード・アクセス・オペレーションズ」に所属し、スノーデン氏の情報漏洩によって侵害されたエクスプロイトを置き換える作業に携わっていた。2015年に解雇され、現在は連邦捜査を受けている。
