Shadow BrokersがNSAも使用というエクスプロイト公開

headless 曰く、　The Shadow Brokersを名乗る人物またはグループは、米国家安全保障局（NSA）がサイバー攻撃に使用しているというツールやエクスプロイトを今年に入ってたびたび公開している。14日に公開された「Lost in Translation」にはWindowsのゼロデイ脆弱性を使用するエクスプロイトが含まれる可能性も指摘されたが、Microsoftが調査したところゼロデイは含まれていなかったとのこと（MSRC、SlashGear、Ars Technica）。

　公開されたダンプには、Windowsの脆弱性を利用するエクスプロイトが12本含まれる。このうち5本は数年前までに脆弱性が修正されており、3本は現在サポートされる製品には影響しないとのこと。残り4本のうち「EternalBlue」「EternalRomance」「EternalSynergy」はMS17-010、「EternalChampion」はCVE-2017-0146/CVE-2017-0147で、いずれも3月に修正されている。

　しかし、3月の修正はあまりにタイミングがよく、セキュリティ情報にはいずれも報告者の名前がないことから、NSAから情報提供を受けたのではないかという見方も出ている。さらにArs Technicaの記事では、MicrosoftがShadow Brokersから秘かに情報を買った、偶然脆弱性を自力で発見した、という2つの可能性も指摘する。ただし、セキュリティ情報では「悪用」が「なし」になっており、NSAやShadow Brokersから情報を得て修正したという見方にも疑問があるとしている。

　Shadow Brokersは昨年8月、NSAのサイバー攻撃ツールを入手したとしてオークション形式で売却する考えを示していたが、オークションは成立しなかったようだ。今年に入ってShadow Brokersは引退を表明し、一部のツールを公開した。ただし、データベースの売却はあきらめておらず、その後も部分的な公開を行っている。

　なお、Lost in Translationに含まれるのはWindowsを対象としたエクスプロイトだけではない。復号したファイルは複数のGitHubリポジトリで公開されているが、misterch0c氏のリポジトリには簡単な説明付きでエクスプロイトがリストアップされているので、興味のある方は参照してほしい。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | バグ | Windows | アメリカ合衆国 | 政府

　関連ストーリー：
サポート切れの「IIS 6」でリモートから任意のコードが実行できるという脆弱性が発見される 2017年04月05日
ウイルス対策ソフトウェアをマルウェアに変える攻撃「DoubleAgent」 2017年03月26日
ハッキングコンテスト「Pwn2Own」で狙われたEdge、仮想マシン内のEdgeからホストにアクセスできる攻撃も行われる 2017年03月24日
Windowsの未修正脆弱性に対するサードパーティのパッチが公開される 2017年03月04日
ハッカー集団が米国家安全保障局のサイバー攻撃ソフトを奪取、競売で売る計画 2016年08月20日