CISTEC Journal 7月号掲載［2019.8.1］

NSA のスパイツールが盗まれた

1. ロシアに漏れていたスパイツール

　この2017年になされた一連の報道で、何が語られていたかを見ていきたい。DHSの通達の発行された翌月、米政府の懸念を裏付けるような事件が米ウォール・ストリート・ジャーナル紙によって報道されている。この事件はスパイをスパイしていたスパイがスパイに警告するという経緯を辿ったもので、少しだけ複雑である。しかし、結論は、ロシアの情報機関、連邦保安庁（FSB）が米国の情報機関、国家安全保障局（NSA）のスパイツールを秘密裏に入手していたという、シンプルで衝撃的なものであった。ここで問題となるのが、そのスパイ行為の過程に、カスペルスキー社のアンチウィルスソフトウェアが寄与していたということであった。

　このときロシア側に流れた情報には、NSAがどのように海外のコンピュータ・ネットワークに侵入していたかを示すもの、それに使用されるスパイツールのプログラムコード、及び同組織がどのように米国内ネットワークを防護しているかといった詳細情報が含まれていた⁹。
　これらの情報は、ロシアに自国ネットワークをNSAのスパイ活動から防護する手がかりを与え、同時にまた、米国やその他の国々のネットワークへの侵入を許すことにつながるものであった。NSAとしても米国としても、これは大問題であった。ちなみに、NSAからの大規模なリーク事件は、公知のものとしては、このときのもので三件目であった（表1）。

表1. NSAの大規模リーク事件

報道時期	発生時期	概要
2013年6月	2013年6月※1	元NSA契約社員エドワード・スノーデンによって、NSAが米国企業の協力を得て、米国民や国外に対するスパイ行為を行っていたことが暴露される
2016年8月	2016年8月※2	NSA契約社員の自宅パソコンから流出したNSAのプログラムがシャドー・ブローカーズと名乗る団体に競売に出される
2017年10月5日	2014年10月※3	NSA職員の自宅パソコンから流出した機密文書がFSBに窃取される。流出にカスペルスキー社のアンチウィルスソフトウェアが関係した

※1　リーク内容の発表時期
※2　流出データが競売に出された時期
※3　データが FSBに窃取された時期¹⁰

2. イスラエルにハッキングされていたカスペルスキー社

　この、スパイをスパイしていたスパイとは、イスラエルの情報機関であった。イスラエルにはいくつも情報機関がある。例えば、SIGINT（シグナル・インテリジェンス）部隊の「トップブランド」8200部隊、諜報特務庁（モサド）の対外盗聴担当部門ネヴィオトなどである。しかし、どの機関がこれを行ったのかは、特に明確にされていない。

　この機関は2014年からカスペルスキー社の社内システムに侵入し、情報を収集していたらしい。そして数ヶ月に亘って、その情報を分析し、カスペルスキーのソフトウェアがどのように動くのか、また同社にロシア政府とのつながりがあるのかが調査されたという。この侵入は2015年中旬にはカスペルスキー社の知る所となり、2015年6月に分析レポートが発行されている。なお、同社はこの侵入に使用されていたマルウェアを「Duqu2.0」と名付けている¹¹。Duqu 2.0はカスペルスキー社の数十台のパソコンに感染していたという¹⁰。しかしそれまでの期間に、イスラエルの組織は、カスペルスキーの社内システム上にNSAが作成したスパイツールを発見していたのであった。この発見は同組織からNSAのカウンター・パート（機能が対応する組織）に通報された¹¹。

　漏洩の経路を調査した結果、あるNSA職員の自宅パソコンからファイルが漏洩していたことがわかった。この職員の名前は公表されていないが、前年にスノーデンによってリークされてしまったハッキングツールに代わるツールの制作に従事するベトナム人契約者だったという¹²。この職員が、個人所有のパソコンに大量のNSAの機密文書を移した目的は、ただ自宅で仕事をするためであったようだ。そのパソコンには使用者によって、カスペルスキー社製のアンチウィルスソフトウェアが既にインストールされていたのであった¹¹。

3. 究極のバックドア

　アンチウィルスソフトウェアといえば、ウィルスの検知をするために、パソコン内の各種ファイルへのアクセスを許され、安全性をチェックするものである。チェックの上で、発見したマルウェアを削除したり無能力化したりする。そしてソフトウェアを提供する会社からは、必要に応じて、最新のウィルス情報をパソコン側に送るし、パソコン側からウィルス情報を収集することもある。元NSA職員でエリア１セキュリティ（Area 1Security）社の創業者の一人であるブレイク・ダーシェ（Blake Darché）によれば、「アンチウィルスソフトウェアは究極のバックドア（外部からネットワークを介しシステムに侵入する「裏口」となる仕組み）」であり「継続的で信頼性の高い遠隔操作を提供する」という。その遠隔操作によって「破壊的攻撃の送信や、数千といわず数百万ユーザーさえ対象とするスパイ行為を含む、あらゆる目的での使用が可能である。

　イスラエルの機関は、このカスペルスキー社の調査の過程で発見した情報と証拠をNSA へ提供した。同組織は、ロシア政府のハッカーがカスペルスキー社製ソフトウェアの接続を利用して、米政府の秘密プログラムを積極的にスキャンし、発見した全てをロシアの情報機関に渡していた証拠を見つけ出した。そして、その確たる証拠を画面コピーや書類の形で、NSA側に渡したのであった^{9, 11}。

4. 報道のタイミングに見える意図

　以上の事件が報道されたのは2017年であったが、これを報道したウォール・ストリート・ジャーナル紙によれば、漏洩事件そのものは2015年に起こったものだった。同事件を分析したカスペルスキー社の説明では、漏洩は2014年9～10月に起こったとされており、ウォール・ストリート・ジャーナル紙の説明とは少し異なる。いずれにせよ、それが米当局の知るところとなったのは、2016年のことであったようだ（表1）^{9, 10, 11}。

　そうだとすると、なぜこの2017年10月というタイミングで報道されたのだろうか。やはり、前月のDHSの通達によって話題性が高まっており、報道機関も、このテーマに注目していたということが大きいのだろう。しかし、そのタイミングで内部情報をリークした政府側の動きには、少なくとも、DHSの通達の正当性を知らしめたいという思惑は込められていたことだろう。カスペルスキーが第二次コード・ウォーズ（Cord Wars II）と表現して、この時期の米国政府とメディアの動きを、自社を貶めるための両者の連携した策略であると疑ったのもうなずけるタイミングでのリークではあった。

　なお、この時点で、カスペルスキー社のソフトウェアは22もの米国連邦政府関係機関で使用されてきていた。これらには陸・海・空軍、国防総省、国務省、国土安全保障省、エネルギー省、退役軍人省、司法省、財務省などが含まれた。しかし、国防総省の一部局であるNSAではその職員に対し、正規か、非正規であるかにかかわらず、業務上でのこのソフトウェアの使用を禁じてきていた⁹。これは主に、NSA自身がアンチウィルスソフトウェアを悪用して海外でのハッキング作戦を行っており、相手もまた同じ手法を利用していると知っていたからであったと証言されている。

　しかし、職員が自宅で使用することに関しては、不使用を指導こそしていたが、禁じてまではいなかったのである。ちなみに、自宅のパソコンに機密ファイルを持ち出すことはもちろん正しいプロセスではなく、過去のケースでは窃盗として訴追されている¹¹。

つづく

参考文献

9. Lubold, Gordon, Harris, Shane. Russian Hackers Stole NSA Data on U.S. Cyber Defense. The Wall Street Journal.（オンライン）2017年10月5日.（引用日：2019年6月1日.） https://www.wsj.com/articles/russian-hackers-stole-nsa-data-on-u-s-cyber-defense-1507222108.
10. Hern, Alex. NSA contractor leaked US hacking tools by mistake, Kaspersky says. The Guardian.（オンライン）2017年10月26日.（引用日：2019年6月17日.） https://www.theguardian.com/technology/2017/oct/26/kaspersky-russia-nsa-contractor-leaked-us-hacking-tools-by-mistake-pirating-microsoft-office.
11. Perlroth, Nicole, Shane, Scott. How Israel Caught Russian Hackers Scouring the World for U.S. Secrets. The New York Times.（オンライン）2017年10月10日.（引用日：2019年5月31日.） https://www.nytimes.com/2017/10/10/technology/kaspersky-lab-israel-russia-hacking.html.
12. Hern, Alex. Kaspersky Lab denies involvement in Russian hack of NSA contractor. The Guardian.（オンライン）2017年10月6日.（引用日：2019年6月18日.） https://www.theguardian.com/technology/2017/oct/06/kaspersky-lab-denies-involvement-russian-hack-nsa-contractor-moscow.