シマンテックは、サイバースパイ集団Longhornと、ウィキリークスが公開したとされるCIA文書に記載されたツールとの関連性を明らかにしました。いわゆる「Vault 7」と呼ばれるこの文書には、標的のコンピュータにマルウェアを感染させる方法、エンドツーエンドで暗号化されたメッセージの盗聴、そして米国諜報機関が使用するその他のハッキング手法が記載されています。そして今、これらのファイルはLonghornとCIAが同一人物であることを示唆しています。
Longhornは、「金融、通信、エネルギー、航空宇宙、情報技術、教育、天然資源セクター」の関係者に加え、政府機関や「国際的に活動する組織」を標的とし、ゼロデイ脆弱性とバックドア型トロイの木馬を組み合わせた攻撃を仕掛けたとされています。こうした特徴は、個人的な利益ではなく国益のためにハッキングを行うことが多い国家主導の攻撃者によく見られます。
Vault 7の漏洩以前から、Longhornが北米に拠点を置いているというヒントはありました。シマンテックはブログ記事で次のように説明しています。
Vault 7の漏洩以前、シマンテックはLonghornについて、十分なリソースを持ち、諜報活動に携わる組織だと評価していました。この評価は、世界規模の標的と、高度に開発された様々なマルウェアやゼロデイエクスプロイトへのアクセスに基づいていました。タイムスタンプとドメイン名登録日に基づくと、このグループは標準的な月曜日から金曜日までの勤務週で活動しているようで、これは国家支援を受けたグループの行動と一致しています。シマンテックの分析により、Longhornが英語圏の北米の国で活動していることを示す複数の兆候が明らかになりました。MTWRFSU(Monday Tuesday Wednesday ThuRsday Friday Saturday SUnday)という頭字語は、マルウェアが攻撃者と通信する曜日を設定するために使用されていました。この頭字語は北米の大学カレンダーでよく使用されています。マルウェアに使用されているコードワードの中には、SCOOBYSNACKなど、北米で最もよく知られているものがあります。さらに、信頼できるタイムスタンプを持つツールのコンパイル時刻は、南北アメリカ大陸のタイムゾーンを示しています。
シマンテックは、Vault 7の膨大な文書がLonghornに関する同社の知見と一致すると述べた。特定のマルウェアへの言及、様々なツールの動作における類似性、そして暗号プロトコルはすべて、CIAとLonghornの関連性を示唆している。また、CIAとサイバースパイ活動は、攻撃において非常に類似した「技術」を用いているとも指摘している。証拠は状況証拠にとどまらない。
Vault 7の文書は、ウイルス対策製品の回避方法や、遠隔地からの自動車ハッキングがどのように(おそらくは起こらないだろうが)人命を奪うために利用される可能性があるかなど、多くの情報を提供してきた。また、漏洩の影響を受けた企業が情報にどう対応しているかについても明らかにしてきた。さらに、CIAが自身のニーズに合わせて公開マルウェアを再利用している様子も明らかにしており、CIAが著名なハッキンググループの背後にいる可能性を強く示唆している。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
それでも、シマンテックがLonghornとCIAを結びつけたのではなく、CIAとVault 7の文書との関連性を見出したことは注目に値します。同社はCIAを全面的に非難しませんでした。おそらく、非難すれば追及されるような事態を避けたかったのでしょう。そしてもちろん、北米には複数の国があります。しかしながら、Vault 7の文書は実際にはCIAから持ち出されたというのが一般的な見解です。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
