米メディア報道のインシデントに関する内部調査：中間報告

※本記事は2017年10月25日に中間報告として公表され、2017年11月16日に詳細が追記された英語記事の日本語版です。

概要：よくある質問

– この内部調査は、何についてのものか？

2017年10月、米国のメディア数社が、2015年に発生したNSAの機密情報の密かな流出およびKaspersky Security Networkに関わる内容を報じました。当社では、すべてについてダブルチェックを実施することにしたものです。

– その件に関して、何か情報は見つかったのか？

2015年に発生したとされるインシデントについては、何も見つかりませんでした。しかしながら、2014年に、昨今の報道で説明されているものと共通点のあるインシデントが存在しました。

– 正確には何があったのか？

当社製品は、あるユーザーのコンピューター上にて既知のEquationマルウェアを検知しました。後に、同じコンピューター上で、海賊版のMicrosoft Officeに端を発するEquationではないバックドアと、これまでは知られていなかったマルウェアの検体を含む7-zip アーカイブファイルを検知しました。検知されたバックドアとアーカイブファイルは、解析のため当社製品によってアナリストへ送られました。このアーカイブには、Equation Groupに関連すると見られるマルウェアのソースコードと、機密マークの付いた複数のWord文書が含まれていることが判明しました。

– そのバックドアは何だったのか？

バックドアはMokesでした。 「Smoke Bot」「Smoke Loader」としても知られています。このマルウェアは2011年にロシアの闇フォーラムで売買されていました。このマルウェアの指令サーバーは2014年9月から2014年11月の間、中国の何者かと見られる「Zhou Lou」という名前の人物あるいは組織に登録されていました。

– 問題のコンピューターが感染したのは、そのマルウェアだけだったのか？

当該コンピューターでは一定期間、当社製品が無効化されていたため、確かなことは分かりません。ただし、当社製品が有効化されていた間、Equation以外のさまざまタイプのマルウェア（バックドア、エクスプロイト、トロイの木馬、アドウェア）に関するアラートが121件発生していました。当該コンピューターは、かなりの数のマルウェアに感染していたと見られます。

– Kaspersky Labの製品は、たとえば「top secret」「classified」といったキーワードを使って、そういったタイプのアーカイブファイルを意図的に検索したのか？

そのようなことは行っていません。この悪意あるアーカイブファイルは、当社のプロアクティブな検知テクノロジーによって自動的に検知されました。

– このアーカイブやアーカイブに含まれていたファイルを、第三者に共有したのか？

共有していません。当社はCEOの要請を受け、当該アーカイブファイルを削除しました。

– なぜそのファイルを削除したのか？

当社の検知機能を向上させるには、コンパイル済みファイル（バイナリ）があれば十分であり、ソースコードや、機密と推測されるWord文書は必要ありません。当社ストレージには、バイナリファイルのみを保管しています。

– Kaspersky Labの企業ネットワークが不正侵入されていた証拠は、何か見つかったのか？

Duqu 2.0を除き、不正侵入はされていませんでした。Duqu 2.0については、侵入があった後に詳細を公表しています。

– 独立した第三者機関にデータを共有する用意はあるか？

はい。すべてのデータを独立検証のために提供する準備を進めています。また、より詳細な調査結果をレポートとしてまとめました。

調査結果について

2017年10月、Kaspersky Labは、先日の報道で2015年に発生したとされるインシデントに関連し、当社テレメトリーログの徹底的な調査を開始しました。当社で把握していたのは2014年に発生した一件のインシデントのみであり、これはAPTの調査中に当社の検知サブシステムがEquationマルウェアのソースコードファイルと見られるものを捉えたというものでしたが、これと同様のインシデントが他に発生していなかったかの確認を行うことにしたものです。加えて、2015年に発生したと報道されるインシデントの当時、Duqu 2.0以外にも第三者による侵入がなかったかどうかについても、調査を実施することにしました。

当社では、2014年のインシデントに関連し、詳細な調査を実施しました。中間報告として以下のとおりお知らせします。

• Equation APT（Advanced Persistent Threat）の調査を通じ、当社は世界40か国以上での感染を観測しています。
• これらのうち、一部は米国内で観測されたものです。
• Kaspersky Labは、通常手続きとして、米国内でのAPTによるアクティブな感染について、関連する米国政府機関への通知を行ってきました。
• 米国内での感染のうち１件は、Equation Groupが利用するマルウェアの、新たな、未知の、デバッグ版と見られる複数変種によるものでした。

• Equationマルウェアの新規検体が検知された上記インシデントに関しては、当社の個人ユーザー向け製品が、Kaspersky Security Networkが有効になった状態で使用されており、新種および未知のマルウェアの検体が自動送信される状態となっていました。
• 本インシデントでEquationマルウェアが最初に検知されたのは、2014年9月11日でした。検知された検体は次のとおりです。
  ・44006165AABF2C39063A419BC73D790D
  ・mpdkg32.dll
  検知名：HEUR:Trojan.Win32.GrayFish.gen

• 上記が検知された後に、当該ユーザーは海賊版ソフトウェアを自分のコンピューターにダウンロードしてインストールしたと見られます。これは、違法なMicrosoft Officeアクティベーションキーのジェネレーター（いわゆる「keygen」）の存在が示すとおりです。このkeygenはマルウェア* に感染していました。Kaspersky Labの製品は、このマルウェアを「Backdoor.Win32.Mokes.hvl」の検知名で検知しました。
  *md5は「a82c0575f214bdc7c8ef5a06116cd2a4」。検知状況についてはVirusTotalをご覧ください
• 当該マルウェアは、「Office-2013-PPVL-x64-en-US-Oct2013.iso」という名称のフォルダー内部で検知されました。ISOイメージが仮想ドライブまたはフォルダーとしてシステムにマウントされたことを示唆しています。
• Kaspersky Lab では2013年以来、Win32.Mokes.hvl（偽のkeygen）の検知が可能となっています。
• この悪意ある（偽の）keygenを当該コンピューター上で初めて検知したのは、2014年10月4日です。
• このkeygenをインストールして実行するにあたり、当該ユーザーは自分のコンピューター上のカスペルスキー製品を無効化したと見られます。当社のテレメトリーでは製品が無効化された時期を特定することはできませんが、後にこのkeygenマルウェアがシステム内で動作しているのが検知されている事実から、keygenが実行された時点で当社製品は無効化されていたか、実行していなかったと考えられます。当社製品が有効になった状態では、keygenは実行できなかったはずです。
• 当該ユーザーは、当社製品が無効になっていた不特定の期間、このマルウェアに感染していました。このマルウェアは本格的なバックドアであり、当該ユーザーのコンピューターに対して第三者がアクセスできていた可能性があります。
• その後、当該ユーザーは当社製品を再度有効にしました。当社製品はこのマルウェアを検知し（検知名：Win32.Mokes.hvl）、これ以上実行しないようにブロックしました。
• このたびの調査の一環として、このバックドアおよびその他Equation以外のマルウェアに関し、当該コンピューターにおける脅威関連のテレメトリーログをさらに詳しく調査しました。バックドアMokes（別名「Smake Bot」または「Smoke Loader」）がロシアの闇フォーラムで売り出されたのは2011年のことでした。当社の調査では、このマルウェアの指令サーバーは2014年9月から2014年11月の間、中国の何者かと見られる「Zhou Lou」という名前の人物あるいは組織に登録されていました。Mokesの詳細は、こちらの英語レポートをご参照ください。
• 当該コンピューターにインストールされていた当社製品は、Equationでは121のマルウェア（バックドア、エクスプロイト、トロイの木馬、アドウェア）に関するアラートを2か月以上にわたりレポートしていました。テレメトリーログからは、当社製品がこれらの脅威を発見したことを確認できますが、当社製品が無効化されていた期間にこれらが活動していたかについては確認できません。当社ではその他マルウェア検体の調査を継続し、解析が完了次第、結果をお知らせする予定です。
• 「Win32.Mokes.hvl」として検知されるマルウェアに感染した後、当該ユーザーはコンピューターを複数回スキャンし、その結果、Equation APTマルウェアの新たな亜種や未知の亜種が検知されました。
• 当該コンピューターでの最後の検知は、2014年11月17日のことでした。
• 当社製品がEquation APTマルウェアの新たな亜種として検知したファイルのうち、1つは7-zipアーカイブファイルでした。
• 当該アーカイブファイル自体が悪意あるものとして検知され、解析のためKaspersky Labへと送られ、アナリストの一人が解析作業にあたりました。解析において、当該アーカイブには、複数のマルウェア検体とEquationマルウェアのものと思われるソースコード、機密マークの付いた4つのWord文書が含まれることが判明しました。
• Equationマルウェアのソースコードと疑われるものが発見された後、当該アナリストは本件をCEOへ報告しました。CEOの要請を受け、このアーカイブは当社の全システムから削除されました。本アーカイブは、いかなる第三者にも共有されていません。
• この件をきっかけに、全マルウェアアナリストを対象とするポリシーが新たに作成されました。アンチマルウェア調査の中で機密扱いの可能性のあるものを意図せず手にした場合は、削除することを求めています。
• これらファイルを当社が削除した理由、そして今後も同様のファイルが発見された場合に削除する理由は、2つあります。まず、当社のお客様の保護を向上させるために必要なのはマルウェアバイナリだけであること。次に、機密扱いの可能性があるファイルの取り扱いに懸念があることです。
• 2015年、当該コンピューターでの検知はこれ以上ありませんでした。
• 当社が2015年2月にEquationに関する発表を行った後、Kaspersky Security Networkが有効になった別の複数ユーザーが、最初の検知があったのと同様のIP範囲に出現しました。これらは「ハニーポット」として構成されたものと見られ、各コンピューターにはEquation関連のさまざまな検体が置かれていました。これら「ハニーポット」からは通常と異なる（実行可能ではない）検体の検知や送信はなく、特別な方法で検知が処理されることもありませんでした。
• 本調査では、2015年、2016年、2017年に同様のインシデントは確認されませんでした。
• Duqu 2.0を除き、Kaspersky Labのネットワークに対する第三者による侵入は検知されていません。
• 本調査により、兵器化されていない（悪意を持つものでない）文書を「top secret」（極秘）「classified」（機密）のようなキーワードに基づいて検知するシグネチャをKaspersky Labが作成したことはない、と確認されました。

当社は、上記が2014年のインシデントの正確な分析結果であると信じています。当社はGlobal Transparency Initiativeの一環として、当該インシデントに関する技術的詳細も含めた全情報を、相互検証のために信頼できる第三者機関へ共有することを検討しています。

本調査の詳しい調査結果および技術的な詳細は、こちらの記事をご覧ください。