「Shadow Brokers」と名乗る攻撃グループが、サイバースパイグループ Equation から盗んだものだと主張する秘蔵データを公開しました。Equation グループが使ったとされるさまざまな悪用コードとツールも含まれています。Shadow Brokers によると、このデータダンプは Equation をハッキングして盗み出したデータの一例であり、「特別な」ファイルはオークションで最高額の入札者に売るということです。
Equation は、昨年その存在が明らかになったサイバースパイグループです。きわめて高度なマルウェアツールを使い、世界各国の組織を標的としていることが判明しました。技術力が高く、資金も潤沢で、高機能なマルウェアツールを使って巧みに検出をすり抜けています。
シマンテックセキュリティレスポンスは、主張されている内容の正確さを評価し、必要に応じてマルウェアと悪用コードの保護対策を更新するために、Shadow Brokers によって公開されたデータを分析しているところです。
Q: 公開されたデータの量はどのくらいか。
A: 公開されたのは 256 MB の圧縮アーカイブで、そこに約 4,000 ファイルが含まれています。
Q: アーカイブにはどんなファイルが含まれているか。
A: ファイルの大部分は、幅広いルーターおよびファイアウォールアプライアンスを標的としたインストールスクリプト、構成ファイル、悪用コードのようです。
Q: いつ頃のデータか。
A: ほとんどが数年前のもので、2010 年から 2013 年の間のファイルです。
Q: データダンプには、本当に活動中の悪用コードが含まれているのか。
A: 公開されているファイルをすべて評価するには時間がかかりますが、少なくとも、公開されているツールの一部は活動中の悪用コードであることが、早い段階から判明しています。
Q: Shadow Brokers について、どんなことが判明しているか。
A: このグループには、前歴がありません。これまで知られていなかっただけかもしれませんが、「Shadow Brokers」というのが別のグループの変名という可能性もあります。
Q: Shadow Brokers が入手し、まだ公開していないデータについては、どんなことが判明しているか。
A: ほとんど何もわかっていません。Shadow Brokers は、これを秘密にしていると述べており、「特別」なファイルがあるというのはグループの主張にすぎません。
Q: 公開されていないデータは、どのようにオークションにかけられるのか。
A: Shadow Brokers はビットコインのアドレスを公開しており、関係者にはビットコインをそこに送金するよう指示しています。競り負けた場合でも返金はありませんが、かわりに競り負けた人には「残念賞」が進呈されるということです。100 万ビットコイン(5 億 7,630 万ドル相当)という、信じがたい巨額を調達しようとしており、それが達成できたらさらに多くのデータを公開するとしています。
Q: これがデマである可能性はあるか。
A: 公開されているファイルは確かにゴミではありませんが、間違いなく Equation グループに関係していると十分に確定するには、しばらく時間がかかりそうです。
Q: このデータダンプと、既知のツールとの関連性はどうですか。
A: 一部のファイルは、エドワード・スノーデン氏のリークで名指しされ、国家安全保障局(NSA)のツールとされている EPIC BANANA、EXTRA BACON、ELIGIBLE CONTESTANT などに関連しています。とは言っても、これらのツール名はすでに公開された情報なので、ファイルの出自を証明するわけではありません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】