2015年7月初旬、政府機関などに監視ツールを提供するイタリアの企業「Hacking Team」から機密情報が流出したと報道されました▼。そしてこの機密情報がネット上に公開されるようになり、調査が進むにつれ、世界を震撼させるような事実が次々と明らかになりました。
大きなインパクトがあったのは、漏洩した情報の中に、米アドビシステムズのAdobe Flash Player▼に対する未公開の脆弱性情報が含まれていた点です。Flashの提供元であるアドビも把握していなかったため、脆弱性が公開されても修正プログラムがありません▼。ゼロデイ脆弱性▼だったのです。しかも攻撃するための手法まで漏洩したので、攻撃者側はすぐに攻撃に取り掛かれる状況でした。実際、漏洩後すぐにこの脆弱性を悪用した攻撃が日本でも観測されました。
監視ツールを仕掛けるために所有
Hacking Teamがこの脆弱性情報を持っていた理由は、監視対象のパソコンやスマートフォンなどに監視エージェントを仕掛けるためです。同社は、世界各国の政府機関が情報を得るための監視ツールを提供しています。ターゲットに気付かれずにエージェントを確実にインストールするために、ゼロデイ脆弱性をこっそり使っていたのです。
漏洩した情報の中には、顧客リストと思われるものも含まれており、そこには米FBI(連邦捜査局)をはじめ、韓国やメキシコなど世界各国の情報・捜査機関の名前がありました(図1)。筆者が調べた限りでは顧客リストに日本の組織は含まれていませんでした。しかし、漏洩情報の中にHacking Teamから日本の防衛省の職員に接触を試みているメールはありました。
漏洩後すぐに攻撃が始まる
この脆弱性を突く攻撃が漏洩後すぐに始まったのは、攻撃手法が一緒に漏洩したからです。多くの場合、新しい脆弱性が見つかっても、その脆弱性を悪用する手法が確立するまで多かれ少なかれタイムラグがあります。今回の脆弱性にはこのタイムラグがなかったのです。筆者も実際に脆弱性を使った攻撃コードを検証したところ、ターゲットにしたパソコンを遠隔操作できました(図2)。