エフセキュアブログ

by:マイケル・アルブレクト

RATが香港の民主活動家たちを脅かす

 最近、香港が報道の見出しを賑わせている。オキュパイ・セントラル(#occupycentral#OccupyHK)運動や、傘の革命(#umbrellarevolution#UmbrellaMovement)のおかげだ。DPHK(Democratic Party Hong Kong、香港民主黨)とATD(Alliance for True Democracy、真普選聯盟)はこの活動の中心的な組織である。近頃は、こういった活動が民主主義のための戦い以上のものへと発展した。上記の組織のサイトがマルウェアに感染し、#digitalfreedomのための戦いへと変化したのだ。Volexity社は技術的な全詳細とともに記事を掲載している。それは、さまざまな目的で使うことのできる、RAT(Remote Access Trojan)のことのようだ。今回の目的は、実際のところ興味深い疑問だ。誰がなぜこれをやったのか?

 •  現在のサイバー犯罪は、大体においてソーシャルエンジニアリングであり、マルウェアを実行させるために被害者を誘い出しデバイスを感染させる。ショッキングな報道の見出しに便乗して、感染したサイトや詐欺ページに、より多くのユーザを導くことは、サイバー犯罪者にとって非常に一般的なことだ。したがって、世界の注目の的となっている感染したサイトは、政治的な動機が皆無であっても、サイバー犯罪者にとって魅力的だ。

 •  前述の組織は、世界の先端を行くサイバー超大国の1つとの政治的な紛争に巻き込まれている。つまり、政治的な動機により、中国がこのマルウェアの攻撃の背後にいるというのは、もっともらしく思われる。上記サイトへの数多くの訪問者は、指導者として、あるいは草の根レベルで、なんらかの形で運動に関与している。こうした人々のデバイスのほんの一部分にRATを植えつけたとしても、彼らの敵は大量の価値ある情報を得られるだろう。

 •  問題を取り巻く評判によっても、人々が怖がってサイトから離れていくだろう。抗議運動を組織化するのにTwitterが効率的に使われているため、サイトが感染してもおそらく現実的な影響はほとんどない。Twitterのようなサービスを遮断することは可能だが、非常に目立つ劇的な行動だ。またF-Secure FreedomeのようなVPNで回避することもできる。しかし、抗議団体のメッセージを世界中の聴衆に拡散するためには、これらのサイトはより重要である。今回の影響はこのレベルで重大かもしれない。ここでも中国は利益を得る側だ。

 この話の教訓は、当然ながら政治活動家はサイバー攻撃において魅力的な標的である、ということだ。今回のケースに政治的な動機があったという証拠はない。ただ、中国が有力な容疑者であると見当をつけるのに、天賦の才が必要なわけではない。そして、そのおかげで、今回のケースが特筆すべき事態となっている。犯罪者たちはたいてい私的な個人を標的にし、国家は他の国家を標的とする。しかしここでは、国家が政治団体に属する一般人を標的にしているのを我々は目撃したのだ。この種の攻撃は、反対運動を実行する人々にとって、真の脅威だ。そしてこの脅威は、民主的な度合いが低い国々に限ったものではない。多数の西洋の国の警察部隊は、すでに容疑者にマルウェアを使用するための技術的および法的な支援の双方を受けている。そして大抵は、その使用に当たり、適切な透明性と統制が存在しない。

 ざっくばらんに言って、同様のケースがここヨーロッパで発見されても、筆者はそれほど驚かないだろう。現在のところ、ヨーロッパに傘の革命と同規模の民主化活動があるわけではない。しかし当局によって監視されている組織は多数ある。極右団体が分かりやすい例だ。

Micke

ポリスウェア:善か悪か

 マルウェアの状況は絶えず変化しているが、注目すべき変化の1つは、今日の悪玉が善玉になるかもしれないことだ。つまり、やつらが善人になると考えられるのだ。これをもう少し混乱しないように説明すると、当局はマルウェアの主要なプレイヤーの1つとなっており、アメリカの政府機関はすでに世界でもっとも大口のエクスプロイトの購入者なのだ。

 これにより、我々のような対マルウェア戦士にとって、昔ながらの倫理上の論点がかつてないほど重要になっている。ポリスウェアにはどのように対応すべきだろうか?この種のマルウェアは検知すべきか否か?エフセキュアの立場は明確だ。イエス。当社はどんな種類のマルウェアでも検知する。そしてノー。当局のポリスウェアのためにホワイトリストを持つことはしない。ポリスウェアをホワイトリストに登録する要求を受け取ったことはないし、もし要求されても拒否する。

 これには複雑な心境になるかもしれない。警察が公共の利益のために取り組んでいることに疑問の余地はないからだ。鉄格子の中に送られるべき危険な犯罪者が存在しているのだから、彼らに対して使える武器はなんでも使ってはいけないのだろうか?ポリスウェアをホワイトリストに登録するのを拒否することで、我々は彼らを保護することになっていないか?この問題についてもっと詳しく見ていこう。そうすれば当社の現行のポリシーに対し、別の選択肢が本当に存在しないことが分かるだろう。

 ポリスウェアをホワイトリストに登録することが、なぜアンチマルウェア・ベンダーにとって悪い考えなのだろうか?

  •  当局の権力は常に規定された地域に限られているが、当社のアンチマルウェア技術は世界中で使用されている。ポリスウェアが当該機関の管轄内で使用されているのかをスキャナエンジンが検証する、信頼できる方法はない

  •  いつでも正規の令状が容疑者を特定する。しかし当社のアンチマルウェア技術は全顧客一般に対するもので、ポリスウェアが正規の標的に用いられているのかを確認できない

  •  ホワイトリスト上のファイルに出くわした時に、誰がそれを制御しており、誰に報告を返すのかを当社のスキャナが検証できない。本当のマルウェアがそのようにしてすり抜ける可能性があるので、ホワイトリストは信頼できない

  •  我々には可能な限り顧客をマルウェアから守る義務がある。これは製品を販売する際に約束したことだ。ユーザに対し有効な令状があるケースにおいては、当然ながら例外を作ることはできる。しかし上述したように、その条件を検証することは不可能だ

  •  法律が国ごとに異なる。ポリスウェアが、ある国では合法だが別の国では違法な可能性がある。これは我々が調査するには複雑で実現不可能だ

  •  我々はどの国の権力に仕えるべきか?我々は自国の警察を信じることができるが、スペインや、ブラジル、カナダ、イスラエル、エジプト、中国、北朝鮮、そしてアメリカはどうだろうか?いくつかの国を適当に取り上げただけだが。こうした国にも仕えるべきか?諜報ツールを使うにあたって合法的な動機があることを、当社はどのように検証できるのだろうか?

  •  ポリスウェアが適切な令状がないまま間違って使われたり、あるいは法律に違反しているなら、当社は犠牲者に通知する道義的責任がある。そうでなければ、当社が犯行の一端を担うことになる

 つまり問題なのは、有効な令状が対象にするのはきちんと特定された個人またはグループである点だ。一方、ポリスウェアをホワイトリスト化すると、当社の世界中のユーザベース全体を対象とすることになる。これでは、ホワイトリストの欠点が利点よりも大きくなる

 しかし、これがすべてではない。ホワイトリストについて依頼するのは、政府機関にとってはさらに悪い考えだ、という理由を以下に挙げる。

  •  ホワイトリスト化するには、我々がホワイトリストにあるべきものを知っている必要がある。ポリスウェアは一意性があり信頼性のある識別機構を持っていなければならないことになる。マルウェアの主要な目標は可能な限り検知されにくくすることだが、こうした識別子のおかげでポリスウェアは検知されやすくなり、効果が薄くなる。ホワイトリストにもブラックリストにも使われ得るのだ

  •  ホワイトリストに登録するには、当局がポリスウェアプログラムについて外部に詳細を開示する必要に迫られる。これにより情報漏えいのリスクが高まる。またプログラムの存在そのものについて明らかにしなければならない。ホワイトリストを効果的にするには、当社に限らず多数のアンチマルウェア・ベンダーに持ちかける必要がある

  •  識別機能に信頼性を持たせるには、ホワイトリスト上でポリスウェアと当局とを結び付ける必要がある。これは、自身が当局によって監視されていると知る術を容疑者に与えることになる。さもないと、検知されたマルウェアへの感染が、マルウェアの脅威全体の中に溶け込んでしまい、容疑者へのアラートが必ずしも行われなくなる

  •  最近のニュースで取り上げられて明らかになったように、ポリスウェアの大部分は完全に法律違反であるか、少なくとも根拠があやふやだ。これについて外部に話すのは、当局にとっては賢明ではないということになる

 当局にとって最善の戦略は、不良少年と同じゲームに参加することだ。ポリスウェアを継続的に変更し、アンチマルウェア製品のレーダーをかいくぐって飛ぶようにする。当局のプログラムが捕捉されたら、これを変更して再度試す。標的は、通常のマルウェアの攻撃だと思うかもしれない。法執行機関には大量のリソースがあり、このゲームはうまく成功するだろう。また数多くの犯罪者にはおそらくそれほど技術的な知識はない。巨大で組織化されたギャングでさえ、適切に保護されたコンピュータなしで活動しているかもしれない。真実は映画とは異なる。悪党が世界的な麻薬の売人で、なおかつスーパーハッカーであるというようなことはない。ポリスウェアをホワイトリストに登録しなくとも、大半の犯罪者は標的として脆弱だ。

 ホワイトリストを用いないという当社のポリシーは既に古いものだが、今日ではこれがいまだかつてないほど重要になっている。古き良き時代には、警察は信頼に足るものであった。容疑者に対する令状や行動は、犯罪対策の合法的な部分であるように見えた。こうした伝統的な警察の行為が、まったく異なる動機によって秘密の大衆監視に融合されるのを見るのは悲しいことだ。悲しいだけではない。市民と当局の間に亀裂を生むことになり、恐ろしい。

 これを心に留めると、ホワイトリスト化に厳密なポリシーを適用するのが実際に唯一の選択肢だ、という理由が簡単にわかる。これは常に簡単な選択であったし、今も頭を使う必要はない。

Post by — Micke

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード