PR

 2015年7月初旬、政府機関などに監視ツールを提供するイタリアの企業「Hacking Team」から機密情報が流出したと報道されました。そしてこの機密情報がネット上に公開されるようになり、調査が進むにつれ、世界を震撼させるような事実が次々と明らかになりました。

▼流出したと報道されました 流出したデータは、ソフトウエアのソースコードや電子メール、従業員のパスワードなど、約400Gバイト分だとされる。

 大きなインパクトがあったのは、漏洩した情報の中に、米アドビシステムズのAdobe Flash Playerに対する未公開の脆弱性情報が含まれていた点です。Flashの提供元であるアドビも把握していなかったため、脆弱性が公開されても修正プログラムがありません。ゼロデイ脆弱性だったのです。しかも攻撃するための手法まで漏洩したので、攻撃者側はすぐに攻撃に取り掛かれる状況でした。実際、漏洩後すぐにこの脆弱性を悪用した攻撃が日本でも観測されました。

▼Adobe Flash Player Webブラウザー用のコンテンツ再生プラグイン。
▼修正プログラムがありません 脆弱性が公開された後、アドビが修正プログラムを提供するまでに最大4日間かかった。
▼ゼロデイ脆弱性 修正プログラムが公開されていない、ソフトウエアの脆弱性。

監視ツールを仕掛けるために所有

 Hacking Teamがこの脆弱性情報を持っていた理由は、監視対象のパソコンやスマートフォンなどに監視エージェントを仕掛けるためです。同社は、世界各国の政府機関が情報を得るための監視ツールを提供しています。ターゲットに気付かれずにエージェントを確実にインストールするために、ゼロデイ脆弱性をこっそり使っていたのです。

 漏洩した情報の中には、顧客リストと思われるものも含まれており、そこには米FBI(連邦捜査局)をはじめ、韓国やメキシコなど世界各国の情報・捜査機関の名前がありました(図1)。筆者が調べた限りでは顧客リストに日本の組織は含まれていませんでした。しかし、漏洩情報の中にHacking Teamから日本の防衛省の職員に接触を試みているメールはありました。

図1●顧客リストには世界各国の情報・捜査機関の名前が並ぶ
図1●顧客リストには世界各国の情報・捜査機関の名前が並ぶ
Hacking Teamから漏洩した情報には、顧客リストのほかに顧客が支払った金額のリストも見つかった。これらのリストは、漏洩したといわれるデータから編集部が抽出した。
[画像のクリックで拡大表示]

漏洩後すぐに攻撃が始まる

 この脆弱性を突く攻撃が漏洩後すぐに始まったのは、攻撃手法が一緒に漏洩したからです。多くの場合、新しい脆弱性が見つかっても、その脆弱性を悪用する手法が確立するまで多かれ少なかれタイムラグがあります。今回の脆弱性にはこのタイムラグがなかったのです。筆者も実際に脆弱性を使った攻撃コードを検証したところ、ターゲットにしたパソコンを遠隔操作できました(図2)。

図2●Flash Playerの脆弱性を悪用した攻撃の流れ
図2●Flash Playerの脆弱性を悪用した攻撃の流れ
Flash Playerの脆弱性を悪用されると、任意のコードを送り込まれて実行させられる。遠隔操作されたり、マルウエアに感染させられたりする。
[画像のクリックで拡大表示]