アレックス・ゴスチェフ(4)- 私たちは区別しない

Kaspersky Labでは誰がどんなふうにマルウェアを解析しているのか?数々のインシデントはどう調査されるのか?Kaspersky Labのチーフセキュリティエキスパート、アレックス・ゴスチェフが語るシリーズ最終回。

ゴスチェフ2

Kaspersky Labの重鎮となったゴスチェフは、GReATを立ち上げたのち、愛する現場へ戻っていった。シリーズ最後の本記事では、Kaspersky Labがいかにして重要インシデントに取り組んでいるかが明かされる。

アレックス・ゴスチェフ(1)- ウイルスは都市伝説だと思っていた
アレックス・ゴスチェフ(2)- Slammerがやってきた!
アレックス・ゴスチェフ(3)- エキスパート集団GReATの誕生

Nemesis

GReATの設立を進めていた2008年、非常に高度な複数のインシデントを急ぎ解析する必要に迫られた。「Nemesis」の誕生は、このときだ。報復の女神から名を取ったNemesisは、チームやプロジェクトではない。特に重要なケースに取り組むときに発動する、特別モードだ。

インシデントが数々の基準に合致して初めて、「Nemesis」状態であると判断される。ことが起こったとき、私たちは脅威を解析するのに全社からリソースを集めることができる。Nemesisは、当社のトップ優先事項になった。たとえば、Nemesisで何かの解凍が必要になれば、解凍関連を担当する連中は他の業務をストップし、Nemesisのタスクに取り組む。また、ツールを書く必要に迫られたときは、開発者たちへただちに声がかかる。Nemesisは、そう頻繁には発生しない。過去3年間で10件ほどのものだ。Stuxnet(2010年)は「Nemesis 7」、NetTraveler(2013年)は「Nemesis 17」だった。

STUXNET、FLAME、その他

GReATは数々の重要なマルウェアを特定してきた。たとえば、2013年4月、未知のワイパーウイルスがイランで大量の情報を削除した。私たちは、この中東向けに開発されたマルウェアに興味を持った。そこで、対応するルールをKaspersky Security Networkに設定し、調査を開始した。私たちはFlameを見つけ出した。

先にStuxnetDuquで得た知識が、このとき格別に役立った。私たちは一種のパターンを見つけたが、問題のワイパーはこれらと同じ集団によって記述された可能性があると見た。

現在、約10件の調査案件が進行中だ。平均的にいって、調査案件のうち公表されているのは10-20%くらいのものだ。大半の情報は機密扱いだ。他社が関わっているからであることもあるし、至った結論を100%証明できないからという理由の場合もある。

中国の攻撃に関しては多大な調査研究を行ってきた。技術的な観点では、中国が大衆を狙って繰り出す攻撃はさほど興味深いとは言えない。コードのレベルも大変低いことがほとんどだ – ただし、「いつも」ではない。興味を引くような攻撃を検知した場合、私たちは解析を行う。Winntiのときのようにね。

Winntiは、世界各国の大手ゲーム企業を標的としていた。攻撃は数年にわたり、目的とするところはオンラインゲームのソースコードだった。おそらく、中国に海賊版サーバーを作ろうとしていたのではないかと思う。今でも、この犯罪者集団の活動が見られる。私たちが彼らの仕事を暴いたにもかかわらず。新たなインシデントや新たな脅威が今でも続いている。まだこの件は終わっていない。

沈黙する者あれば、騒ぎ続ける者あり

私たちがレポートを公表すると、攻撃者たちはさまざまなリアクションを見せる。先の中国人集団は、まったく気に留める様子もなかった。もしかすると、自分たちについて何か書かれたことにすら気づいていないのかもしれない。しかし、たとえばNetTravelerの連中は、私たちが彼らのトリックを暴いたあとは活動を止め、サーバーを停止して姿をくらまそうとした。

政府系マルウェア

国家が支援するマルウェアとサイバー犯罪者のマルウェアを、私たちは区別しない。どこかの政府や警察機関がトロイの木馬を使ったなら、トロイの木馬はすぐにサイバー犯罪者の手に渡り、別の用途で使われることになる。

国家が支援するマルウェアとサイバー犯罪者のマルウェアを、私たちは区別しない。どこかの政府や警察機関がトロイの木馬を使ったなら、トロイの木馬はすぐにサイバー犯罪者の手に渡り、別の用途で使われることになる

私たちは今年、Hacking Teamに関する調査を公表した。Hacking Teamは、トロイの木馬RCSを異常な値段(数十万ドル)で警察機関に販売していた。同じころ、パナマの企業であるOPM Securityが、同じトロイの木馬を不特定多数に300ユーロばかりで販売していた。まったく同じコードを持つ、まったく同じバックドア「DaVinci」だ。しかし、一方では巨額で政府に販売され、一方ではとあるオフショア企業がコンピューターを持つ不特定多数の人物に売っている。こういう事態をどう言ったらよいのだろう?

Hacking TeamGamma Groupにはカンファレンスでよく出会う。最近会ったのは、コロンビアで開催されたインターポールのカンファレンスでユージン・カスペルスキーが講演をしたときだ。RCSを開発したHacking Teamと、FinFisherを作成したGamma Groupも出席していたのだ。私はHacking Teamからノートをお土産にもらった。

彼らは私たちに悪意を持ってはいない。彼らは彼らの仕事をし、私たちは私たちの仕事をする、それだけだ。彼らが「炎上」するとしたら、それはひとえに彼ら自身の責任だ。彼らのような企業も、政府の組織も、自分たちのソフトウェアを検知するのを止めろなどと言ってきたことはない。

※本記事は、Hacker誌に掲載されたStepan Ilyin氏の記事を翻訳・転載したものです。

ヒント