近年、国家主導型サイバー攻撃の被害が世界各国で増え始めている。本連載では、国家主導型サイバー攻撃のねらいと手口について、世界のサイバー事件に詳しいマカフィー サイバー戦略室 シニアセキュリティアドバイザー CISSPのスコット・ジャーカフ氏に事例を交えながら解説していただく。
今回は、世界トップレベルの強力なサイバー攻撃能力を有しているといわれる米国の国家安全保障局(NSA)および同局のサイバー戦情報収集組織Tailored Access Operations(TAO)について詳しく話を聞いた。
NSA屈指のエリートチーム「TAO」
米国メリーランド州フォート・ジョージ・G・ミード陸軍基地内に本部を構えるNSAは、1952年にハリー・トルーマン大統領の緊急司令により正式に設立された(しかし、1999年までその存在は隠されていた)。第1次および第2次世界大戦において敵国の暗号解読を担当していた組織がもとになっており、現在では3万人以上の職員が勤務しているといわれている。
NSAのミッションはいくつかあるが、主なものはシギント(signals intelligence)と呼ばれる通信・電磁波・信号等の傍受を利用した諜報活動、および米軍に対するサイバー攻撃への対策である。世界最高レベルの暗号技術やセキュリティ技術を持つ米国屈指の専門家たちが、これに取り組む。
NSAのなかでも特に傑出した能力をもつエリートチームがTAOという集団だ。コンピュータハッカー、アナリスト、ハードウェアおよびソフトウェア設計者、電気系エンジニアなど1000人以上の各専門家によって構成されており、スパイ行為からサイバー攻撃までの能力を兼ね備えている。TAOのチームに加わるためには、さまざまなテストを受けて合格しなければならないという。
2013年、NSAおよび中央情報局(CIA)の元職員であるウイリアム・スノーデン氏がメディアを通じてNSAによる諜報活動の手口を告発し世間を賑わせたが、スノーデン氏の証言と同氏がNSAから持ち出した極秘文書に基づいて書かれた告発本『NO PLACE TO HIDE』では、NSAにより入手されたネット機器にTAOチームがツールを埋め込み、これを梱包して配送ルートに戻していたなどという事例も紹介されている。
「こういった事実は、TAOがいかに優れたツールを持っているかということを物語っています。TAOチームは米国のなかでもっとも高度で機密性の高いツールを利用しています。これは、チーム自身も高度なサイバー攻撃ができる能力を持っているということにもなります」(ジャーカフ氏)
TAOのハッキングツールはなぜ流出したか?
そんなTAOが開発したハッキングツール類を含む50TBのデータが盗まれ、今年、オンライン上にそのデータが流出した。データを窃取した犯人はTAOの元メンバーであるハロルド・マーティン氏であることが明らかになっている。マーティン氏は2016年に、国家機密情報を盗んだスパイ容疑で逮捕されていた。
「マーティン氏は50TBのデータを窃取し、自宅に保持していました。NSAが保有していたTAOのハッキングツールの75%を盗んだと言われています。これに対してマーティン氏の法定代理人は、『愛国心が強く、データを持ち出したのは自宅で勉強するためであった』と弁護しています。しかし、私も米国政府で23年間仕事をしていた経験がありますが、アクセス権限は厳重に管理されており、持ち出すには相応の努力が必要。マーティン氏は、大量の物品を度を越して収集してしまうホーディング障害があると言われていますが、データを自宅に持って帰るなどということは言語道断です」(ジャーカフ氏)
悪意の有無に関わらず、マーティン氏が自宅にデータを保持していたことは明らかであるが、これがオンライン上に流出した原因についてはまだわかっていない。
ジャーカフ氏は、2つの可能性が考えられるとしており、「1つは、このツール流出に関わる人物やグループに情報を提供していた可能性。もう1つは、マーティン氏の自宅のコンピュータがハッキングされた可能性です」と説明する。
「オンラインへの流出が発覚したのは4月です。すでに7カ月以上が経ちますが、いまだに原因が確定していません。これはマーティン氏がデータを積極的にどこかに提供していた証拠が見つかっていないためでしょう。では、自宅のコンピュータがハッキングされたかというと、マーティン氏はNSAのなかでもエリートチームのTAOに所属していたほどの人物です。自宅のコンピュータに防御を施していないわけがないですよね? 少なくとも私がマーティン氏であれば、絶対にどこからも取られないように守ります」(ジャーカフ氏)
盗まれたTAOのハッキングツールのなかには、今年5月に世界中で問題となったランサムウェア「WannaCry」の感染活動に関連したものもある。
盗まれた50TBのデータの中には、そのほかにも新種のハッキングツールが含まれていると考えられることから、それらが今後悪用される可能性もあるといえる。そこで次回は、WannaCryをはじめとするTAOのツールが利用されたマルウェアについて紹介したい。