Kaspersky Lab、NSAの機密情報流出に関する調査結果を発表
2017年11月21日 08:07
Kaspersky Labは16日、同社の製品が原因で米国家安全保障局(NSA)の機密情報がロシア側へ渡ったと10月に報じられた件について、調査結果を発表した(Securelistの記事、Ars Technicaの記事、V3の記事)。 Kaspersky Labでは10月下旬、機密情報流出の原因となったNSA契約スタッフとされる人物の自宅PCが多数のマルウェアに感染していたことや、NSAのマルウェアが検出されたためにサンプルとして同社へ送られた7-ZipアーカイブにNSAの機密情報ファイルやソースコードも格納されていたことなどを含む調査結果を事前発表していた(過去記事)。今回の発表はさらに踏み込んだ内容となっている。 カスペルスキー製品が意図的に機密情報を収集していたとの疑惑に対しては、マルウェアのシグニチャにのみ基づいてサンプルの収集を行っていると否定。同社アナリストが作成したマルウェアのシグニチャは社内の別のグループによるチェックが行われるうえ、サードパーティへの提供も行われるため、マルウェアを含まない機密情報を見つけ出すようなシグニチャを紛れ込ませることも困難だと主張する。 また、サンプルとして送られてきたファイルにNSAの機密情報やソースコードが含まれていたという報告を受け、CEOのユージン・カスペルスキー氏は即刻削除するよう指示しており、社内システムには検出の形跡を示すメタデータ程度しか残されていないという。ただし、同社のアナリストは米政府機関の機密情報を扱うトレーニングを受けていないため、同社での機密情報取り扱いが米政府の基準に適合しているかどうかは判断できないとのこと。また、送信経路で盗まれた可能性については、適切な暗号化が行われていることから排除できると述べている。 この人物はOffice 2013の不正アクティベーションツールを実行するためにカスペルスキー製品を無効化したとみられ、この間に機密情報が盗まれた可能性が高いという。この不正アクティベーションツールはMokes/SmokeBotと呼ばれるバックドアが搭載されている。カスペルスキー製品はこのバックドアを検出してブロックするため、ツールを実行するには無効化する必要がある。 なお、問題の不正アクティベーションツールは2011年にロシアのハッカーが開発したと考えられているが、機密情報流出が発生したとみられる期間には中国のグループがC&Cサーバーのドメインを登録していたとのこと。この人物は高いレベルの機密情報アクセスが認められていたことから、スパイの重要なターゲットになっていた可能性も高い。そのため、当時のカスペルスキー製品では検出できなかったマルウェアにより機密情報が盗まれた可能性もあるとのことだ。