ウィキリークスは、CIAから盗み出したさらなる内部機密文書をオンライン上に公開した。今回は、標的のコンピュータやデバイスに感染し、監視するために米国が使用するスパイウェアのソースコードだと言われている。
本日公開されたコードは、「Vault 8」と呼ばれる大規模なコレクションの一部であり、CIAのHiveツールとされるものがインターネット上に流出しました。このソフトウェアは2つの部分から構成されており、1つはスヌープ制御されたサーバー上で動作し、クライアントにコマンドを発行します。もう1つは、感染したデバイスまたはコンピューターにひっそりと潜伏します。
マルウェアのクライアント側がどのようにエンドポイントに侵入し、スパイ活動を行うのかは明らかにされていない。ソフトウェアやハードウェアの脆弱性を突くエクスプロイトも、ゼロデイ攻撃も発見されていないようだ。これはCIAのプログラミング能力を浮き彫りにするリモートコントロールツールであり、C言語のコードは一見したところ非常に簡潔で、サーバーとクライアント間の操作を実行するための方法を簡潔に示している。いわば、米国納税者の資金で作られた無料のプログラミングチュートリアルと言えるだろう。
このソフトウェアは、悪意のある人物が自身のソフトウェアに機能を組み込むために利用される可能性がありますが、他にも盗用できる例は山ほどあるため、今回の公開によって犯罪者が強力なサイバー兵器を手に入れるわけではありません。もしこのコードが本当にCIAの機密設計図だとしたら、CIAにとって恥ずべき事態と言えるでしょう。
ウィキリークスの公開文書で、隔離されたPCに感染させるCIAのツールが明らかに
続きを読む
このスパイウェアは、Linuxを搭載したARM、MIPS、PowerPC、x86デバイス、特にMikrokit社やAVTech社のルーターやインターネット接続カメラにインストールされるように設計されています。このスパイウェアは、暗号化されたSSL/TLS接続を介してリモートサーバーと通信します。このサーバーは、訪問者には通常のウェブサイトを提供しているように見えますが、埋め込まれたマルウェアは「オプションのクライアント認証」と呼ばれるHTTPS機能を使用して秘密の領域にアクセスし、実行命令を受け取ります。クライアントは、ファイルのダウンロードまたはアップロード、ドキュメントの削除、コマンドの実行などの指示を受けることができます。
エージェントは、マルウェアが自分たちにまで遡って追跡されないよう徹底する。サーバーは使い捨ての仮想マシン上で実行され、無害な退屈なサイトのように見せかけられる。HTTPS接続は、ウイルス対策ソフトメーカーのカスペルスキー研究所のものとされるセキュリティ証明書を使用して確立される。スパイは、VPN、プロキシ、その他のカバーサーバーを巧妙に組み合わせたネットワークを介して制御サーバーに接続すると予想される。
ジュリアン・アサンジ氏率いるウィキリークスは、このソフトウェアについて「標的のコンピューターに埋め込まれた最も洗練されたマルウェアであっても、そのオペレーターと注意を引かずに安全に通信する方法がなければ役に立たない」と述べた。
「たとえ標的のコンピュータ上で[Hive]インプラントが発見されたとしても、インターネット上の他のサーバーとのマルウェアの通信を見るだけでは、それをCIAによるものと断定するのは難しい。」
実際の実行ファイルは含まれていないため、プログラムを自分でビルドする必要があります。ソフトウェアの動作についてはここで説明されており、今週リークされたバージョンは2013年8月から2015年10月までのものと思われます。
「カバードメインは、誰かが偶然閲覧したとしても『無害な』コンテンツを配信します。訪問者はそれが普通のウェブサイト以外の何物でもないと疑うことはないはずです」とウィキリークスは主張した。
唯一の特徴は、技術に詳しくないユーザーには見えない、あまり普及していないHTTPSサーバーオプション「オプションのクライアント認証」です。しかし、Hiveではこの珍しいオプションのクライアント認証を使用しているため、Webサイトを閲覧するユーザーは認証を必要とせず、オプションとなっています。
Vault 8への情報流出は、CIAの秘密オンライン作戦を解明しようとするウィキリークスの最新の試みです。これまでのリークには、アメリカ政府によるフォレンジックツール、ゼロデイ攻撃、感染手法の使用に関する詳細が含まれていました。CIAはコメントを控えました。®
