WikiLeaksが新たなCIA極秘文書”Vault8”をリーク。マルウェア管理ツール”Hive”のソースコードを公開。
WikiLeaksが11月9日木曜日、新たなCIAの極秘文書をリークした。
今回リークされたValut8に含まれるのは、”Hive”という「マルウェアを遠隔から操作する為のツール」のソースコードのようだ。
Vault7が公開された時に、実はWikiLeaksはHiveに関するCIAの極秘文書を公開していたようだ。
だが、これまで何度もCIAの情報をリークしてきたWikiLeaksも、今回の様にツール自体のソースコードを公開するのは初めてのようだ。
ソースコードを公開した目的とは?
一体何故そのようなことをしたのだろうか。
WikiLeaksのページには、以下ののように書いてある。
このように文書を公表することによって、ジャーナリスト、フォレンジック専門家、そして世間の人々がCIAがどのような”極秘任務”を行っているか理解できるだろう。(中略)Hiveは、CIAに勤務するマルウェア管理者にとって非常に重要なツールである。なぜなら非常に洗練されたマルウェアであっても、被害者端末の所有者に気づかれる事なく、外部ネットワークにいるマルウェア管理者と(Hiveのように)通信を行う事が出来なければ意味がないからだ。
証明書を偽装して”カスペルスキー”を装う
ユーザーの端末に感染しても気づかれないために、Hiveはロシアのセキュリティ企業であるカスペルスキーの証明書を偽装していたようだ。
これに対し、カスペルスキーの創始者・Eugen Kaspersky氏は、以下のようにTwitterでコメントをしている。
We've investigated the Vault 8 report and confirm the certificates in our name are fake. Our customers, private keys and services are safe and unaffected
— Eugene Kaspersky (@e_kaspersky) November 9, 2017
↓翻訳版↓
Vault8に報告されている内容に関して調査し、我々(カスペルスキー)を騙る証明書は偽装されたものであると確認した。我々の顧客、秘密鍵、及びその他のサービスは安全で影響はない。ーーカスペルスキー氏
そもそもソースコードを公開して安全なのか?
セキュリティ研究者のJake Williamsは、「Vault7ほ危険性は無いので、公開されたとしてもツールが悪用されてサイバー攻撃の被害が発生する可能性は極めて低い」と分析している。
Williams氏は、かつてNSAでハッカーとして働いた経歴があり、現在はRendition InfoSecという民間企業で働いているとという。
Williams氏は更に、「PandemicやBrutal Kangarooといったツールの方がサイバーセキュリティ分野に大きな影響を与える可能性が高いだろう」としている。
何故かと言うと、Brutal Kangarooは、USBポートに関するゼロデイ脆弱性を暴く可能性がある事が理由のようだ。
以前CIAからリークされたツールがDDoS攻撃に使用されたり、今年に入ってからはWannaCryやPetyaのように悪用されて世界的なサイバー攻撃が発生した。
今回公開されたVault8に含まれているのは、あくまでマルウェアを遠隔から操作するためのツールである。