ウィキリークスは、Vault 7と呼ばれる機密文書から新たな文書を公開しました。この文書は、CIAがWindowsユーザーを標的とする攻撃方法を説明するものです。公開されたファイルは主に、カスタムインストール用実行ファイルの作成に使用されるフレームワークであるGrasshopperと、CIAがStolen Goods(盗難品)の永続化メカニズムでCarberpマルウェアを使用していることに関するものです。今回のリークは、CIAの新たな内部ツールと、公開されているマルウェアを自身の目的に合わせて再利用する手法に光を当てています。
これはいわば、スパイ版Build-A-Bear Workshopのようなものです。CIAはインストーラー、ペイロード、そして永続化メカニズムを収集し、スパイが特定の標的を狙ったマルウェアを設計するのではなく、まるで子供がぬいぐるみを作るように、オペレーターがそれらを組み立てられるようにしました。オペレーターは、特定のツールを使いたい場合や、構築しようとしているマルウェアをより細かく制御する必要がある場合、Grasshopper自体をカスタマイズすることもできました。
こうしたパーシスタンスメカニズム(マルウェアがセキュリティツールによる検出を回避し、標的のマシンに留まるためのツール)の一つは、「Silent Goods」と呼ばれていました。Silent Goodsのユーザーマニュアルには、その起源について次のように記されています。
これらのコンポーネントは、組織犯罪で使用されていると疑われるロシア製ルートキット「Carberp」と呼ばれるマルウェアから取得されました。Carberpのソースコードはオンラインで公開されており、AED\RDBは必要に応じてマルウェアからコンポーネントを容易に「借用」することができました。Carberpの大部分、特にボットネット/通信コンポーネントはStolen Goods 2では使用されていません。永続化手法とインストーラーの一部は、私たちのニーズに合わせて取得および変更されました。Carberpから取得されたすべてのコンポーネントは、隠された機能、バックドア、脆弱性などがないか慎重に分析されました。使用された元のCarberpコードの大部分は大幅に変更されており、変更されていない元のコードはごくわずかです。
こうしたソースコードの窃盗は、マルウェア作成者の間ではよくあることです。すべてをゼロから構築する人はほとんどいません。ほとんどは他人のソースコードを盗用し、自分の目的に合わせてカスタマイズまたは改良します。また、自分でコードを書くどころか、既製のマルウェアをそのまま利用する人も多くいます。Stolen Goodsは、CIAも例外ではないことを示しています。何かがうまく機能するものは、それで終わりであり、諜報機関はそれを再利用することに何の抵抗も感じません。
ウィキリークスがVault 7の最新資料から公開した情報では、GrasshopperとStolen Goodsについてさらに詳しく知ることができます。ウィキリークスは以前、CIAがエンドツーエンドの暗号化通信ツールを回避しようとしたり、Windowsのウイルス対策ソフトウェアを回避したり、リモートカーハッキングによる暗殺の可能性を検討したりしていることを明らかにしていました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ご心配なく。私たちが話を聞いた自動車メーカーは皆、ハッカーに殺される可能性は低いと断言してくれました。また、アンチウイルス企業はVault 7の文書で明らかにされた脆弱性を修正済みです。シスコシステムズなどの企業も、ウィキリークスの資料を精査し、同組織が自身のブログ記事で指摘していない重大なセキュリティ上の欠陥を見つけようとしています。
本日公開された文書は、2012年から2014年の間に書かれたものとみられる。すべての文書に日付が記載されているわけではない。例えば、Grasshopperのユーザーガイドには日付が記載されていないが、管理者ガイドには2013年12月に公開されたと記載されている。Microsoftなどのセキュリティ企業は、このフレームワークとそのコンポーネントによって悪用された脆弱性にすでに対処している可能性がある。
私たちはこれらの最新のファイルについてマイクロソフトにコメントを求め、マイクロソフトの広報担当者は次のように述べた。
調査の結果、4月7日に公開された情報は最新のシステムに影響を与えないことが確認されました。セキュリティ脅威に対する最善の防御策として、デフォルトで自動更新されるWindows 10を推奨します。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
