シャドー・ブローカーズ

出典: フリー百科事典『ウィキペディア(Wikipedia)』

シャドー・ブローカーズ (The Shadow Brokers、略称TSB) は、2016年夏に初めて確認されたハッカー集団[1][2]アメリカ国家安全保障局(NSA)との関連が指摘されているハッカー集団イクエーション・グループから情報やハッキングツールを盗み出したことで知られる[3][4]。これらの脆弱性は、ファイアウォールアンチウイルスソフトウェア、およびマイクロソフト社の製品を標的としていた[5][6][7][8][9][10]。どこの国に属する組織なのかは未だ不明である[11]

概要[編集]

NSAはアメリカのサイバー作戦の一翼を担っており、他国に対してハッキングや妨害・破壊行為などサイバー攻撃を仕掛けるためのテクノロジーの開発を行っていた[11]。イクエーション・グループはNSAのエリートハッカー集団Tailored Access Operations(TAO)がその正体とされ、世界42カ国に監視などのためにハッキングで潜入していた事が判明している[11]。だが2015年にロシアのセキュリティ企業カスペルスキーに突き止められるまで14年間、その存在を隠し続けた謎の組織だった[12]

サイバー兵器(ハッキングツール)には未知のゼロデイ脆弱性が必要不可欠のため、世界的に高額で取引されている。NSAも年間2500万ドル以上の予算を分配していたこともある[13]。マイクロソフトやグーグルは新たな脆弱性の発見に報奨金を支払っているが、NSAなど各国の情報機関はあえて報告せず、自分たちが侵入したり敵対国への攻撃に利用している[13]。修正パッチが当てられてしまうともう攻撃には使用できなくなるため、NSAは脆弱性の存在を秘密にし続けていた[13]

グループ名の由来

いくつかのニュースサイトが、「シャドー・ブローカーズ」というグループ名が、Mass Effect シリーズに登場する「シャドー・ブローカー」に由来している可能性があると指摘している[14][15]。それによると、Shadow Brokerは情報を取引する巨大組織のトップであり、最高入札者に情報を販売するキャラクターだという[16]

歴史[編集]

2013年

イクエージョン・グループが一連のサイバー兵器を製作[12]

2016年

8月13日、世界最高レベルのセキュリティと言われる[17]NSAから盗み出した情報とツールを売り出すと宣言[18]。TSBはイクエーション・グループが脆弱性について警告せず放置したことを非難。その上でNSAに、盗まれたデータなどを買い戻せば、さらなる流出は防げるとした。「高齢者たちの退職金を盗むことに興味はない。これは常にシャドー・ブローカーズとイクエージョン・グループの闘いだ」と宣言している[19]

2017年

3月14日、マイクロソフトWindowsServer Message Blockに存在する脆弱性の修正プログラム「MS17-010」を配布した[20][21][22]。Microsoftがエクスプロイトのリリースについて情報を漏らした可能性があるという推測もある[23]

4月14日、入札者が現れなかったため「トランプ大統領に対する抗議」だと言い[24]ロシアファイル共有サイトで300MBの情報を公開した[18][25]

5月12日、北朝鮮に属するハッカー集団ラザルスグループがこのハッキング技術を悪用した自己増殖するワームの特性を持ったランサムウェアWannaCry(別名ワナクリプター)を開発[26]。世界の99カ国と地域の10万台以上のコンピュータが感染した[27]

同日夜、イギリスのセキュリティ企業MalwareTechのマーカス・ハッチンス英語版がランサムウェアの機能を止める「キルスイッチ」を発見し拡散を一時的に止める。しかし、すぐにパッチを当てた他の亜種やキルスイッチのないバージョンも現れた[28]

5月14日、マイクロソフトのブラッド・スミスCEOはハッキングツールが漏洩した件で「政府がしばしば機密保持できないソフトウエアの欠陥情報を米国政府がため込んでいる」「米軍が保有するトマホークミサイルが盗まれたのと同じようなもの」と厳しく批判した[20][24]

5月15日、ボサート大統領補佐官は「米国は、恐らく他のどの国よりも、認識された欠陥情報をどう扱うかという手続きについて、極めて慎重だ」と延べた[20]

5月16日、TSBが国際的な銀行ネットワークから漏洩した情報や、ロシア中国イラン北朝鮮の核ミサイル開発に関する機密情報も公開すると予告した[19]

5月16日、150カ国と地域に被害が広がる。脆弱性を公表せず逆に利用しようとしていたNSAに批判の声があがるが、専門家はNSAよりも、システムの修正を行わないユーザーや、流出させたシャドー・ブローカーズの方が直接的な責任があるとの見方を示した[20]

5月19日、カスペルスキーは身代金の支払額はわずか合計8万3500ドル余りだったと報告。CEOは「攻撃者が期待したほど成功しなかったということだ」と分析した[29]。しかし攻撃ツールがすべて公開された場合「大惨事になる」とも述べた[30]

5月30日、TSBは各国政府などから盗んだハッキング技術を7月に約2万2千ドル(約240万円)で販売する告知した[31]

6月27日、既に存在していたマルウェアPetyaの新しい亜種「NotPetya」をロシアのサンドワームが製作し、2017年ウクライナへのサイバー攻撃英語版を行った。これは流出したエターナルブルーが悪用されており、自己増殖能力するこのマルウェアよって世界中で100億ドル(約1兆円)という過去最高の被害額を出した[32]

2018年

4月中旬、一時落ち着いたエターナルブルーが、新種のランサムウェア「サタン」(Satan)の登場でピークを記録する[33]

リークした情報[編集]

最初のリーク[編集]

「EquationGroup Cyber WeaponsAuction-Invitation」

正確な日付は不明だが、リークの準備は少なくとも8月の初めには開始され[34] 、最初の公開は2016年8月13日にTwitterアカウント@shadowbrokerssで「イクエーション・グループ サイバー兵器オークションのご案内」が投稿された[6]

2番目のリーク[編集]

「Message #5-TrickOrTreat」

2016年10月31日に公開された資料には、イクエーション・グループによってハッキングされたと思われるサーバーのリストと、使用された非公開の7つのツール(DEWDROP、INCISION、JACKLADDER、ORANGUTAN、PATCHICILLIN、RETICULUM、SIDETRACK、STOICSURGEON)が記載されていた[35]

3番目のリーク[編集]

「Message #6-BLACK FRIDAY / CYBER MONDAY SALE」

このリークには、イクエーション・グループが使用しているとされるツールの解説書のような名称のフォルダーが60個が含まれていた。これには実行ファイルは含まれておらず、ツールのファイル構造のスクリーンショットが含まれている。

4番目のリーク[編集]

「Don't Forget Your Base」

2017年4月8日、これはTSBが使用するMediumアカウントに投稿された[36]。この投稿により、昨年リリースされた暗号化ファイルのパスワードが判明した。これらのファイルは、NSAのさらなるハッキングツールを明らかにするとしている[37]

復号化されたファイル eqgrp-auction-file.tar.xz には、主にLinux / UNIXベースのシステムをハッキングするためのツールが含まれていた[38]

5番目のリーク[編集]

「LostinTranslation」

2017年4月14日、Twitterアカウントは、Steemブロックチェーンへのリンクを含むツイートを投稿した[39]

全体的なコンテンツは、「oddjob」「swift」「windows」の3つのフォルダで構成され[40]、このリークをTSBは「…これまでで最も有害なリリース」であると示唆している[41]。CNNはマシュー・ヒッキーの「これはおそらく過去数年間で最も有害なものだ」というコメントを引用している[42]

リークには、コードネームがDANDERSPIRITZ、ODDJOB、FUZZBUNCH、DARKPULSAR、ETERNALSYNERGY、ETERNALROMANCE、 ETERNALBLUE 、EXPLODINGCAN、EWOKFRENZYなどのツールとエクスプロイトが含まれていた[41][43][44]

また作成者情報などが含まれるメタデータと呼ばれる部分には4名の氏名が記載されていた。関係者によればこの内の少なくとも1人はNSA職員で間違いないという[25]

エターナルブルー[編集]

WindowsのServer Message Block(SMB) v1サーバーに存在する、リモートから任意のコードが実行可能な脆弱性(MS17-010)を悪用するエクスプロイト。

黒幕と動機[編集]

ロシア説[編集]

NSA元局員のエドワード・スノーデンは2016年8月16日にTwitterで「状況証拠と従来の常識で考えると、ロシアの責任を示している」とコメントした[45][46][47][48]

ニューヨーク・タイムズは、この事件をロシア連邦軍参謀本部情報総局所属のハッカー集団によって起こされた、2015年の民主党全国委員会(DNC)のサイバー攻撃と、2016年3月のポデスタEメールのハッキングの文脈で捉えている[11]。アメリカの諜報機関が反撃を検討していたため、シャドー・ブローカーズの公開は警告と見るべきとした[49]

NSAインサイダー説[編集]

James BamfordとMatt Suicheは、おそらくNSAの非常に機密性の高い部署に配属された誰かがハッキングツールを盗んだ「内部犯行」だと推測している[50][51][52][12]

2016年10月、ワシントン・ポストは、国家安全保障局(NSA)から約50テラバイトのデータを盗んだとして告発されたコンサルティング会社ブーズ・アレン・ハミルトンの元・請負業者が容疑者であると報道した。しかしTSBは、この容疑者が拘留されている間も暗号で署名されたメッセージを投稿し続け、メディアのインタビューも受けている[53]

2019年、以前NSAで働いていたコンピューター科学者のDavid Aitelは、「ロシア人以外の誰かが知っているかどうかはわかりません。そして、それがロシア人であるかどうかさえわかりません。現時点ではわかりません。何でも真実かもしれない」と総括した[54]

日本説[編集]

日本のITジャ-ナリスト井上トシユキは、「日本人あるいは東アジア人が関与していると言われている」と述べた[17]

脚注[編集]

[脚注の使い方]
  1. ^ Ghosh, Agamoni (2017年4月9日). “'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools”. International Business Times UK. http://www.ibtimes.co.uk/president-trump-what-fk-are-you-doing-say-shadow-brokers-dump-more-nsa-hacking-tools-1616141 2017年4月10日閲覧。 
  2. ^ “'NSA malware' released by Shadow Brokers hacker group” (英語). BBC News. (2017年4月10日). https://www.bbc.co.uk/news/technology-39553241 2017年4月10日閲覧。 
  3. ^ Brewster. “Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'” (英語). Forbes. 2020年11月25日閲覧。
  4. ^ Sam Biddle (2016年8月19日). “The NSA Leak is Real, Snowden Documents Confirm”. The Intercept. 2017年4月15日閲覧。
  5. ^ Nakashima, Ellen (2016年8月16日). “Powerful NSA hacking tools have been revealed online”. The Washington Post. https://www.washingtonpost.com/world/national-security/powerful-nsa-hacking-tools-have-been-revealed-online/2016/08/16/bce4f974-63c7-11e6-96c0-37533479f3f5_story.html 
  6. ^ a b Equation Group - Cyber Weapons Auction - Pastebin.com” (2016年8月16日). 2016年8月15日時点のオリジナルよりアーカイブ。2022年2月16日閲覧。
  7. ^ Dan Goodin (2017年1月12日). “NSA-leaking Shadow Brokers lob Molotov cocktail before exiting world stage”. Ars Technica. 2017年1月14日閲覧。
  8. ^ Goodin (2016年8月16日). “Confirmed: hacking tool leak came from "omnipotent" NSA-tied group”. Ars Technica. 2017年1月14日閲覧。
  9. ^ The Equation giveaway - Securelist”. 2022年2月16日閲覧。
  10. ^ Group claims to hack NSA-tied hackers, posts exploits as proof” (2016年8月16日). 2022年2月16日閲覧。
  11. ^ a b c d 選挙を不正操作しようとする、ハッカー集団の正体”. ITmediaビジネスONLINE (2016年8月25日). 2022年2月16日閲覧。
  12. ^ a b c NSAの天才ハッカー集団がハッキング被害、官製ハッキングツールが流出”. ニューズウィーク (2016年8月22日). 2022年2月16日閲覧。
  13. ^ a b c 世界的サイバー攻撃が「低レベル」なのは本当か 事件から見えるサイバーセキュリティの現状”. SankeiBiz (2017年5月21日). 2022年2月16日閲覧。
  14. ^ The 'Shadow Brokers' NSA theft puts the Snowden leaks to shame - ExtremeTech” (2016年8月19日). 2022年2月16日閲覧。
  15. ^ Shadow Brokers: Hackers Claim to have Breached NSA's Equation Group” (2016年8月15日). 2022年2月16日閲覧。
  16. ^ Shadow Brokers: NSA Exploits of the Week”. Medium.com (2016年8月15日). 2022年2月16日閲覧。
  17. ^ a b 150カ国以上にサイバー攻撃 ハッカー集団「シャドー・ブローカーズ」の犯行か?”. J-CASTテレビウォッチ (2017年5月15日). 2022年2月16日閲覧。
  18. ^ a b ランサムウエア NSAのソフト技術利用か”. 毎日新聞 (2017年5月13日). 2022年2月16日閲覧。
  19. ^ a b ハッカー集団、さらなるサイバー攻撃ツール公開か”. AFPBB NEWS (2017年5月18日). 2022年2月16日閲覧。
  20. ^ a b c d アングル:攻撃は米情報機関の失態か、ハッキング技術漏えいで”. ロイター (2017年5月16日). 2022年2月16日閲覧。
  21. ^ “Microsoft says users are protected from alleged NSA malware” (英語). AP News. https://apnews.com/7100004c2d7e4cc28b7e6b7d4e40f812/Microsoft-says-users-are-protected-from-alleged-NSA-malware 2017年4月15日閲覧。 
  22. ^ “Protecting customers and evaluating risk” (英語). MSRC. https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/ 2017年4月15日閲覧。 
  23. ^ Microsoft says it already patched 'Shadow Brokers' NSA leaks”. Engadget. 2017年4月15日閲覧。
  24. ^ a b 大規模サイバー攻撃、プログラムの出どころNSAの責任は?”. ニュースイッチ (2017年5月16日). 2022年2月16日閲覧。
  25. ^ a b サイバー攻撃、米国スパイもターゲットに”. ウォール・ストリート・ジャーナル (2017 年 5 月 25 日). 2022年2月16日閲覧。
  26. ^ 大規模サイバー攻撃、北朝鮮情報機関が関与 米NSAが内部報告と米紙”. 産経新聞 (2017年6月15日). 2022年2月16日閲覧。
  27. ^ 世界99カ国で大規模サイバー攻撃、ルノーは生産停止”. ロイター (2017年5月14日). 2022年2月16日閲覧。
  28. ^ ランサムウェア「ワナクライ」と脆弱性攻撃ツール「エターナルブルー」”. Canon サイバーセキュリティ情報局 (2017年6月28日). 2022年2月16日閲覧。
  29. ^ 大規模サイバー攻撃、動機はやはり「身代金」? カスペルスキーCEOが見解”. ニュースイッチ (2017年5月19日). 2022年2月16日閲覧。
  30. ^ 「サイバー攻撃、大惨事になる」 ロシア企業幹部が警鐘”. 日本経済新聞 (2017年5月19日). 2022年2月16日閲覧。
  31. ^ 「ハッキング技術を販売」と告知/NSA情報暴露の集団”. 四国新聞 (2017年5月31日). 2022年2月16日閲覧。
  32. ^ ウクライナ危機:ロシアのサイバー攻撃に備えは必要、パニックは不要”. ZDNet (2022年2月19日). 2022年2月19日閲覧。
  33. ^ サイバー攻撃をもたらす「エターナルブルー」エクスプロイトの脅威”. eset on ASCII (2018年10月16日). 2022年2月19日閲覧。
  34. ^ The Shadow Brokers: Lifting the Shadows of the NSA's Equation Group?” (2016年8月15日). 2022年2月16日閲覧。
  35. ^ 'Shadow Brokers' Reveal List Of Servers Hacked By The NSA; China, Japan, And Korea The Top 3 Targeted Countries; 49 Total Countries, Including: China, Japan, Germany, Korea, India, Italy, Mexico, Spain, Taiwan, & Russia”. Fortuna's Corner (2016年11月1日). 2017年1月14日閲覧。
  36. ^ theshadowbrokers (2017年4月8日). “Don't Forget Your Base”. Medium. 2017年4月9日閲覧。
  37. ^ Cox (2017年4月8日). “They're Back: The Shadow Brokers Release More Alleged Exploits” (英語). Motherboard. Vice Motherboard. 2017年4月8日閲覧。
  38. ^ GitHub - x0rz/EQGRP: Decrypted content of eqgrp-auction-file.tar.xz”. 2022年2月16日閲覧。
  39. ^ Lost in Translation”. Steemit (2017年4月14日). 2017年4月14日閲覧。
  40. ^ Share” (英語). Yandex.Disk. 2017年4月15日閲覧。
  41. ^ a b “NSA-leaking Shadow Brokers just dumped its most damaging release yet” (英語). Ars Technica. https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/ 2017年4月15日閲覧。 
  42. ^ Larson (2017年4月14日). “NSA's powerful Windows hacking tools leaked online”. CNNMoney. 2017年4月15日閲覧。
  43. ^ Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows”. Medium (2017年4月14日). 2017年4月15日閲覧。
  44. ^ misterch0c” (英語). GitHub. 2017年4月15日閲覧。
  45. ^ Circumstantial evidence and conventional wisdom indicates Russian responsibility. Here's why that is significant”. Twitter (2016年8月16日). 2016年8月22日閲覧。
  46. ^ This leak is likely a warning that someone can prove US responsibility for any attacks that originated from this malware server” (2016年8月16日). 2016年8月22日閲覧。
  47. ^ TL;DR: This leak looks like a somebody sending a message that an escalation in the attribution game could get messy fast”. twitter.com. 2016年8月22日閲覧。
  48. ^ Price (2016年8月16日). “Edward Snowden: Russia might have leaked alleged NSA cyberweapons as a 'warning'”. Business Insider. 2016年8月22日閲覧。
  49. ^ Eric Lipton, David E. Sanger and Scott Shane (2016年12月13日). “The Perfect Weapon: How Russian Cyberpower Invaded the U.S.”. New York Times. https://www.nytimes.com/2016/12/13/us/politics/russia-hack-election-dnc.html 2017年4月15日閲覧。 
  50. ^ “Shadow Brokers: The insider theory”. (2016年8月17日). https://medium.com/@msuiche/shadowbrokers-the-insider-theory-ded733b39a55#.qmppg2xj6 
  51. ^ “Commentary: Evidence points to another Snowden at the NSA”. Reuters. (2016年8月23日). https://www.reuters.com/article/us-intelligence-nsa-commentary-idUSKCN10X01P 
  52. ^ “Hints suggest an insider helped the NSA "Equation Group" hacking tools leak”. Ars Technica. (2016年8月22日). https://arstechnica.com/security/2016/08/hints-suggest-an-insider-helped-the-nsa-equation-group-hacking-tools-leak/ 
  53. ^ Cox, Joseph (2017年1月12日). “NSA Exploit Peddlers The Shadow Brokers Call It Quits” (英語). Motherboard. http://motherboard.vice.com/read/nsa-exploit-peddlers-the-shadow-brokers-call-it-quits 
  54. ^ Abdollah, Tami; Tucker, Eric (2019年7月6日). “Mystery of NSA leak lingers as stolen document case winds up”. Associated Press. オリジナルの2019年7月6日時点におけるアーカイブ。. https://web.archive.org/web/20190706152343/https://abcnews.go.com/Technology/wireStory/mystery-nsa-leak-lingers-stolen-document-case-winds-64163448 

外部リンク[編集]