Trend Micro、ロシアの地下組織に関する研究論文　ほか

　11月も国内では引き続き「遠隔操作ウイルス」の話題が注目を集めたほか、JAXA職員の端末にウイルスが感染したといった報道がありました。

　一方、海外に目を向けると、米国防総省の主要請負業者であるロッキード・マーティン社が、同社に対する巧妙なサイバー攻撃が急増しており、そのうちの2割がいわゆる「APT攻撃」であると発表しました。

　また、イスラム原理主義組織「タリバン」の広報担当者がBCCで送信するはずのメールを誤ってCCで送信したために送信先400名のメールアドレスが明らかになってしまった事件がありました。

　今回は、上記以外で特に注目すべき話題を中心に紹介します。

Trend Micro、ロシアの地下組織に関する研究論文

　「サイバー犯罪の影にロシアの地下組織あり」と言われることがよくありますが、Trend Microがロシアのサイバー犯罪者によるオンラインフォーラムから集めた情報をもとに、彼らの活動内容をまとめた論文を発表しました。

　この論文で注目すべきは、サイバー犯罪に基づく各種「サービス」の料金表。サイバー犯罪に使われるツールを売ったり、貸したりするだけでなく、攻撃行為そのものを有償で請け負うビジネスが存在していることはすでによく知られていますが、それらにかかる金額が具体的に示されています。しかも、その金額が非常に安いというのも注目すべきポイントです。

　例えば、DDoSサービスの金額は以下の通り。

　　1-day　　DDoS service　US$30-70
　　1-hour 　DDoS service　US$10
　　1-week 　DDoS service　US$150
　　1-month　DDoS service　US$1200

　1日なら日本円で数千円で請け負ってくれるわけです。また、単純なスパムメールの送信は、100万通あたりUS$10と、驚くほど格安。

　メールアカウントの乗っ取りについては、以下のような金額が犯罪者らから具体的に提示されたそうです。いずれも日本円で1万円から高くても数万円程度です。

　　AOL.com　　　US$130
　　Gmail.com　　US$85、US$162、US$180
　　Yahoo.com　　US$162、US$350
　　Hotmail.com　US$162、US$350

　さらにメールアドレスが分かっている場合のSNSなどのアカウントの乗っ取りについては以下の通り。

　　Facebook.com　US$130
　　Twitter.com 　US$130
　　Skype.com 　　US$130
　　ICQ.com 　　　US$130

　また、rootkitは以下の金額で販売されています。

　　Linux rootkit　US$500
　　（ls、find、grepなどのコマンドの置き換え）

　　Windows rootkit　US$292
　　（ドライバーレベルなど）

　ロシアのサイバー犯罪市場は相当に成熟しているらしく、最新技術を利用してコストを下げる努力もなされており、料金は下がる方向にあるそうです。

　ニッチなサービスにも十分な需要があるなど、嘆かわしい話でしかないのですが、この低価格化の状況を見れば、「サイバー犯罪の影にロシアの地下組織あり」は当然のことと言えるでしょう。

グルジア政府、サイバー攻撃に対してマルウェアで反撃したことを公表

　グルジア政府のCSIRTであるCERT-Georgiaは、2011年にグルジアに対して行なわれたサイバー攻撃に関する報告書の中で、同攻撃に関与しているとみられる人物の写真を本人が特定できる形（目隠しもぼかしもない状態）で公開しました。この写真は、CERT-Georgiaが仕掛けた罠にかかってマルウェア感染したパソコンによって撮影されたもの。つまり、グルジア政府がマルウェアを使って反撃に出たわけです。また、同報告書では、今回のサイバー攻撃がロシア当局によるものであるとし、さらにロシアの犯罪集団「Russian Business Network（RBN）」との関連も示しています。

　グルジアとロシアは、2008年の南オセチア紛争以降、関係は緊迫しており、紛争当時にはサイバー戦争の発生が伝えられていました。このような緊張関係にある2国間で、マルウェアを用いた諜報活動が行なわれること自体に驚きはありませんが、その結果をここまであからさまに「公開」するのは極めて異例です。しかも、報告書が英文であることから、世界に伝える意図は明白です。

　もはや「宣戦布告」とも取れるグルジア政府の姿勢に、ロシアがどのような対応を見せるのか、それとも完全に無視するのか注目したいところです。

サルコジ前仏大統領の側近に対して米国がスパイ活動？

　今年5月のフランス大統領選に敗北し、現在は違法献金疑惑の渦中にあるニコラ・サルコジ氏に対して、米国によるスパイ活動があったとの報道がありました。

　11月20日、フランスの週刊誌「l'Express」は、今年5月の大統領選の際に、ゼビエル・ミュスカ（Xavier Musca）氏を含む、サルコジ氏の側近のPCに「Flame」に似たマルウェアが感染させられていたと報道しました。

　報道によると、攻撃者らはターゲットとFacebookで「友だち」になった後に、偽のエリゼ宮（大統領官邸）の職員用ページに誘導してユーザー名とパスワードを盗み取り、イントラネットに侵入、マルウェアを仕込んだとしています。なお、サルコジ氏が直接狙われなかったのは、彼がコンピューターを持っていないからだそうです。

　仕込まれたマルウェアがプログラムとしてFlameに似ていることからアメリカ政府の関与が指摘されていますが、パリのアメリカ大使館はこの疑惑を完全否定し、フランス政府もl'Expressの報道を否定しています。ちなみに、米国土安全保障省ジャネット・ナポリターノ長官は、フランスとの同盟関係を強調するのみで、今回の疑惑そのものは否定しなかったようです。

　本稿執筆時点では真偽のほどは定かではありませんが、この話題はヨーロッパ諸国やオーストラリア、インド、韓国など、世界各国で「米国政府の関与の可能性」とともに報道されています。

　米国政府の関与はともかく、マルウェア感染が事実であるならば、Facebookを介したソーシャルエンジニアリング攻撃は、（最近では定番とも言える）シンプルで有効な手法。政府関係者に限らず、広く「注意喚起」すべき事例ではあります。

未公開の脆弱性を売る企業

　いわゆる「アンダーグラウンド」な世界に限らず、セキュリティ関連のコミュニティの中で、未公開の脆弱性を売買する行為は確かに存在しています。また、Googleなど、自社製品の脆弱性を発見し、届け出た研究者らに報奨金を払っているケースもあります。

　そのような中、未公開の脆弱性情報を当該ベンダーには一切伝えず、契約している顧客にのみ提供する有償サービスを堂々と行なっている企業の存在が物議を醸しています。

　問題の企業はマルタのセキュリティ関連新興企業ReVuln。

　ReVulnは、工場や重要インフラなどの制御に用いられるSCADA（Supervisory Control And Data Acquisition）ソフトウェアに深刻な脆弱性があることを発表しましたが、詳細については契約した顧客にのみ提供し、公的機関はもちろん、当該ベンダーにすら無償では提供しないとしています。「欲しければウチのサービスを買え」ということだそうです。

　ReVuln側の主張としては、このような方針をとっているのはReVulnだけではないと、自らの立場の正当性（？）を述べていますが、当然ながら批判の声が上がっています。

　一方、同じく新興企業のExodus Intelligenceが、ReVulnが発見した脆弱性と同じかどうかは不明としつつも、SCADAソフトウェアの20を超える脆弱性を発見したと発表しました。

　同社はReVulnとは異なり、発見した脆弱性情報を米国土安全保障省のICS-CERT（Industrial Control Systems Cyber Emergency Response Team）に届け出るとしています。これにより、ICS-CERTから当該ベンダーに情報が無償で通知されることになります。また、Exodusは、今回発見した脆弱性はいずれも極めて単純で簡単に発見できたものであり、ReVulnが発見したものと同じであることを願うとしています。

　脆弱性情報の取り扱いについてはさまざまな考えがありますし、特にベンダーごとに対応方針（積極的に買うか否かなど）が変わってくるのも致し方ありません。また、脆弱性を発見する側も、霞を食っているわけではなく、生活の糧として脆弱性を見つける努力をしているのですから、ReVulnのやり方のすべてを一方的に批判することも出来ないでしょう。

　しかし、当該ベンダーにすら「欲しければサービスを買え」というのは行き過ぎ。特に今回は重要インフラにも用いられるSCADAソフトウェアの脆弱性だけに、批判の声が高まるのは必至で、ReVulnが今後どのような対応を見せるのか注目する必要があるかもしれません。