[Analysis]
グーグルが恐れたサイバースパイ「GhostNet」とは?
2010/03/23
日本時間の23日、ついにグーグルがGoogle.cnを閉鎖し、中国政府のファイアウォールの外に存在するGoogle.com.hkにリダイレクトを開始した。だが、これが検閲を理由としたものであれば奇妙なことである。もともとGoogle.cn自体、政府の情報アクセス制限に同意して開始したサービスであり、検閲の手法も、サイトの“delist”、つまり、検索対象からの除外が主な手法であり、同社自身「グーグル八分」として活用している基本機能の延長に過ぎず、複雑さが増す理由にもならない。理にたけたグーグルにしては実に奇妙である。
監視する国家
さて、古い話であるが、私は、技術者として米国に滞在していた期間がある。その主な理由は当時の米国の暗号輸出規制にあった。
当時の私は、国際分散開発のスペシャリストであり、地理的に離れたチームが効率よく開発する環境をいかに構築するかに腐心していた。マイクロソフトに先んじて、英語版と日本語版を同時に市場投入するなどの成果を出していた。しかし、オフィス製品の次に手がけたロータスノーツではこの手法が通用しなかった。ソースコード自体にRSA暗号モジュールを含むため米国の外に持ち出すことがでず、開発は米国で行わざるを得なかったのだ。
この暗号モジュールの米国輸出規制では、国内外で利用可能な暗号強度も規定しており、日本で利用可能な暗号は、当時NSAが解読可能と思われた強度以下に抑えられていた(と思われる)。しかも、この輸出規制には例外があった。米国企業で知的所有権保護の必要があれば緩和され、例えば日本国内では、某米国系半導体企業の研究所においてのみ、米国国内並みに暗号強度の高いノーツの利用が許可されていた。
国家は監視し、そのためには実にあからさまな規制を行う。
当時の私は否が応でも国家的な監視体制の存在を意識せざるを得なかったのである。(注:現在は、こうした米国内外の区別はなくなっていると思います。ちなみに、当時米国国内向けには、「キーエスクロー規制」があり、暗号キーの一部を裁判所による解読命令に資するため公的機関に預ける制度がありました)
グーグルが恐れたGhostNet
2009年3月にIWM(Information Warfare Monitor)から、ショッキングな一片の報告書が発表された。「Tracking GhostNet:Investigating a Cyber Espionage Network」と名付けられた報告書は、長らく噂の域を出なかった中国を起点とするネット上の情報収集活動を10カ月間にわたって調査した報告書である。
活動は、中国政府のものと断ずることはできないが、きわめて広範囲に、秩序だった複数のセキュリティ侵害の組み合わせとして行われており、
- チベット活動家サポーターをターゲットとしたフィッシングメール
- チベット亡命政府所有サーバに仕掛けられたマルウェア経由でのサーバコントロール
- ダライ・ラマの個人オフィスからのドキュメント盗聴
が行われており、それらのセキュリティ侵害に関して、「コントロールサーバ」が存在し、感染端末の把握と、マルウェア経由でのコマンドの発行が確認されている。
さらに、コントロールサーバの感染リストの確認によれば、侵害対象は、イギリスの通信社、Associate Press(AP)のサーバ、アジア開発銀行、米国のインド大使館以下28の各国大使館、NATO、台湾領事館を含む986個所に及んでいた。そしてこうした広範囲な重要機関に仕掛けられ、集中管理された端末において、ドキュメントの盗用、キーロガー、Webカムの起動、オーディオデバイスを用いた盗聴能力を持ったマルウェアが操作されていたことになる。
GhostNetの主催者は明確な政治的な意図を持って、統率された高度な侵害を行っていたのだ。卓越した個人の能力でも可能な侵害かもしれないが、これが、国家の暗号規制などのサポートを受けられるのであれば、実施は格段に容易になることは間違いない。
新しい検閲の時代
GhostNetが、中国政府により運営されていた証拠はない。しかし、過去の米国政府の態度の延長から中国政府の行動を類推するとき、中国の「Great Fire Wall」の内側と外側の通信に関して、中国政府は何らかの脆弱性の提供または侵害の容認をグーグルに要請していたのではないだろうか? そして、そうした脆弱性を利用した侵害があったと信ずるに足る証拠を確保したのではないかと思える。
グーグルの態度は、
「隠したいサイトのdelistには応じるが、脆弱性の提供には耐えられない。交渉が頓挫するなら、delistの義務がない領域で活動していくしかない」。
というメッセージに思えてならない。
グーグルは今や、GmailやGoogle Docsによる情報集積を始めとしてIMEによるキーストローク記録までも管理できるようになっている。同社が安易なセキュリティ侵害を許さない姿勢を示したことは、実はクラウドの時代を控えたネット全体にとって大変重要な決断なのかもしれない。
(日本ソフトウェア投資 代表取締役社長 酒井裕司)
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
