Kaspersky Lab、自社ネットワークに対するサイバー攻撃を調査

2015年6月12日

良くない知らせと良い知らせがある。

良くない知らせ

良くない知らせは、当社の内部ネットワークに対する高度な攻撃を検知したことだ。いくつかのゼロデイ脆弱性を悪用した、複雑かつ秘密裏に行われた攻撃であり、背後にいずれかの国家が関与していることは確実と我々は見ている。この攻撃は「Duqu 2.0」と名付けられた。Duqu 2.0と名付けられた理由、オリジナル版Duquとの共通点などについては、こちらを参照していただきたい。

duqu2_wide_BL

良い知らせ その1:大きな発見であること

良い知らせの第一は、これが本当に大きな発見であるということだ。このような悪意ある体制を作り上げ維持していくためには、甚大なコストがかかる。この攻撃は、これまで見られたものよりも、一世代先を行く考え方に裏打ちされている。検知と駆除を困難なものとするために、数々の仕掛けを講じているのだ。Duqu 2.0の背後にいる集団は、自分たちの隠密行動を隠しおおせるとの自信を持っていたように見受けられる。しかし、当社は検知することができた。高度な標的型攻撃を検知するために開発された、当社のAPT対策ソリューションのアルファ版によって。

良い知らせ その2:お客様には影響なし

何よりも重要なのは、当社の製品およびサービスはセキュリティ侵害を受けていないということだ。したがって、当社のお客様が本件によるリスクを被ることはない。

詳細

攻撃者たちは当社の技術、特にSecure Operating SystemKaspersky Fraud PreventionKaspersky Security Network、APT対策ソリューションおよびサービスに興味を示した。また、当社が現在進めている調査、そして当社の検知メソッドや解析能力についても情報を求めていた。当社は高度な脅威によく対抗してきた企業として知られており、攻撃者たちは自らの活動を隠し通すために使えるこのような情報を探し求めたのだろう。そうはいかない。

当社を攻撃したことは、あまり賢明であったとはいえない。彼らは今や、高度な技術を有し、高いコストと年月をかけて作り上げた体制を失うこととなった。しかも、彼らが盗み見ようとした当社の技術は、ライセンス契約の下でお見せできるものだ(少なくともいくつかは)!

Duqu 2.0の背後にいる集団が、著名人または団体に対するスパイ行為を働いていたことも判明した。その中には、イラン核開発問題を巡る国際会議の出席者や、アウシュビッツ解放70周年行事に参加した人々が含まれる。国際的な調査はまだ進行中だが、この攻撃が現時点で判明している以上の広範囲に及ぶ可能性、また、さまざまな国の要人がターゲットに含まれる可能性は高い。付け加えるなら、当社によるDuqu 2.0の検知後、この攻撃の背後にいる連中は、自らの存在が明るみに出るのを避けるため、感染ネットワークから痕跡を消し去った可能性が非常に高い。

Duqu 2.0は、イラン核関連会議やアウシュビッツ解放記念行事の主席者など要人/団体に対してもスパイ行為を働いていた。しかし、これは氷山の一角に過ぎない

次は我々が、この攻撃を当社の防御技術の改良に活用していく番だ。新たな知見はいつでも役に立つ。また、脅威について知るほど、防御力を進化させることができる。当然ながら、Duqu 2.0への対策は当社製品にすでに反映されている。

先に述べたとおり、当社の調査は現在も継続中だ。詳細も含めた全容が明らかになるには、もう何週間か必要だろう。しかし、当社製品のソースコードには影響が及んでいないことは、すでに確認できている。また、当社のマルウェアデータベースは影響を受けておらず、顧客データへのアクセスもなかったことを確認している。

中には疑問を持たれた方もあると思う。なぜ当社はこうして情報を開示しているのか、信用に傷が付くことが心配ではないのか、と。

まず、そもそもこれは、人身事故を起こしてペナルティ怖さに警察に届け出ないのとは話が違う。標的型攻撃というものは誰の身にも起こりうるもので、攻撃を受けたことを公表するのはなんら恥ではないのだ。(思い出していただきたい、企業には2種類あることを – 攻撃を受けたことがある企業と、攻撃を受けたことに気付いていない企業だ。)攻撃を公表することには2つの意味がある。1つは、国家の関与が疑われる攻撃が民間企業全般(特にセキュリティ企業)へ向けられることの正当性(そして倫理性)を世に問うこと。もう1つは、当社の知見を共有することで、他の企業が自社資産を防御する際のお役に立ちたいということだ。「信用」が傷ついたとしても、私は気にしない。当社のミッションは世界を守ることであり、そこにいかなる妥協も許さない。

攻撃の黒幕は誰か?どの国か?

今一度申し上げたい。当社は、攻撃を特定の属性と結びつけることはしない。我々はセキュリティのエキスパートなのであり、政治に踏み込むことで自分たちの強みを薄めるのは本意ではないのだ。同時に、責任ある公表を強く支持する立場として、複数国の法執行機関に報告書を提出し、犯罪捜査を依頼した。また、検知したゼロデイ脆弱性についてはMicrosoftへ報告し、これを受けて最近セキュリティ更新が配信された(ぜひともWindows Updateを実行していただきたいと思う)。

私の願いは、皆さんが日々を全うする中で、世界が良き方向へ変わっていくのを見届けることができるように、ということに尽きる。

まとめとして、大変深刻な懸念をお伝えしたいと思う。

ITセキュリティ企業を国家が攻撃するというのは、あり得ない事態だ。当社は各国と同じ側に立ち、安全なサイバー世界という共通のゴールに向かっていたはずだった。当社はサイバー犯罪と戦うための知見を共有し、犯罪捜査に協力している。サイバー世界をよりよき場所にするため、共に成すべきことは数多くある。しかし今、この「コミュニティ」の一部メンバーが、法を軽視し、職業倫理あるいは良識に対する敬意を欠く姿を目の当たりにしている。

ガラスの家に住む人間は、石を投げ合うべきではない

本件を受け、デジタル諜報活動およびサイバー戦争行為を抑止するにはグローバルレベルで合意したルールが必要である、ということが改めて浮き彫りになったのではないだろうか。しばしば国家と結びついているような不正な集団が、無法者が罪を問われることのない荒野のような場所としてインターネットを扱うのなら、情報技術の世界的進歩は危機に瀕することとなる。したがって、私はあらゆる政府に今一度呼びかけたい。団結し、ルールに合意し、サイバー犯罪やマルウェアを支援・助成するのではなくこれらに対抗することを。