出典:http://blog.rainygirl.com/?p=2609
参考:リンク先のポストの投稿は7月9日に行われたもので、その時まで韓国のほとんどのマスコミでも報じられていませんでした。ポストを作成したRainygirlさんから許可を得て日本語で訳したものです。
アップデート
12時半:ポスト初投稿
2時半:追記およびブリーフィングの翻訳追加
韓国の5163部隊はなぜスパイウェア会社へ8億6千万ウォンを送ったのか?(2015.7.9.)
[多少のスクリーンショットが含まれています]
さる7月6日、イタリアのスパイウェア開発会社「Hacking Team(HT)」がハッキングされ、400GBに及ぶ内部データがまるごとトレントへ流出された。この会社から漏れたデータにはソフトウェアのソースコードを含め、職員の個人情報や退職した職員の辞職届はもちろん、年収かボーナス順位など敏感な人事情報まで入れ込まれていた。しかしながら、海外のマスコミが注目した理由は別のところにある。流出されたデータには、このスパイウェア会社から傍受用デバイスを購買した各国の機関ら、特に政府機関についてすべての情報が含まれていたのである。
– [Wall Street Journal] Hacking Team, the Surveillance Tech Firm, Gets Hacked
– [the guardian] Hacking Team hacked: firm sold spying tools to repressive…
– [ZDNet] Hacking Team hit by breach; leak suggests it sold spyware to oppressive regimes
– [WIRED] Hacking Team Breach Shows a Global Spying Firm Run Amok
– [VERGE] Hacking Team spyware company hacked, embarrassing emails revealed
そしれWIRED UKなどのマスコミを通じ、この会社のソフトウェアを買った顧客のなかで「韓国も含まれている」という報道が出始めた。
今までこの事件を言った韓国のメディアは小規模のセキュリティ専門ネットニュースである「保安ニュース」というところや、[電子新聞」というのが唯一である。しかも電子新聞は初報道から匿名の専門家の言い方を借りて「人権侵害としてみなすのは無理がある」と言って論点を葬ろうとしている。果たしてそうだろうか。今まで韓国政府やこの会社の間にどのことが起きていたのか。
それでHTから流出されたデータをすべて確保してみた。
#Hacking Teamの顧客、韓国5163部隊
ご覧の台帳は漏れたデータの中で「Client Overview_list_20150603.xlsx」というシートファイルに記された内容である。
イタリアのスパイウェア会社HTと取引をしたアメリカの機関の中には、すぐFBIという名前も見られる。
一方「South Korea」つまり韓国の機関名も見えているが、「The 5163 Army Division」つまり「5163部隊」と記録されている。
HTは韓国の「5163部隊」を介して2012年から合わせて68万6400ユーロを受けていたと文書に記録されていた。
ステルス・スパイウェアに基づき、パソコンやスマホを攻撃・感染・監視することができるシステムであり、ターゲットユーザの暗号化された通信(スカイプなどのメッセンジャまたはボイスチャットアプリ、PGP暗号コミュニケーション、暗号化されたウェブメールなど)まですべてが監視できるシステムであることが、この会社の紹介である。しかもこの会社は動画CMまで製作してホームページで上げていた。
(注:Youtubeの動画は現在リンク切れ。ポストの作成者の話によると、徹夜して動画の字幕を付けたらしい)
だいたいこういうのを作っているスパイウェア開発会社・HTと、韓国の「5163部隊」が取引をしていたわけである。
漏れたデータの中で「RCS 8 Technical.pptx」によると、この会社が監視できるといったサービスは次のようである。
つまりボイスチャット・Eメール・SNSすべてが傍受できるということである。
もちろん、韓国の国家情報院がグーグルのGメールを傍受しようとしていた疑惑はハンギョレの2011年9月の記事を通じて一度問題化されていた。
当時技術的むずかしさで、果たしてこれができるだろうかというのがハンギョレからの主な内容であった。しかしネットワーク段階から認証書の取り換え・パソコンに傍受アプリインストールなどの手法がすでにあったので不可能なことではなかった。そして次の年この会社との取引を始めてからは関連システムの実装作業が本格的に行われたとみられる。
#なにを傍受していたのか
韓国「5163部隊」が買ったHTのRCSで実装できる傍受コンテンツはご覧のようになる。次は漏れたデータで「RCS_9.1_Features_Compatibility_v1.2.pdf」ファイルからとったものである。
モバイルの場合、フォンカメラを通じた盗撮・マイクを通じた盗聴・位置情報・スクリーンショットなど…
また、同じデータから明かすことで、デスクトップやモバイルすべてが特定アプリのリモート実行・記録・アンインストールおよび情報を無断で削除することができるのを、会社側から説明している。
この会社が紹介している、感染できるパソコン・スマホの環境はご覧になる。次は漏れたデータで「Compatibillity List (not for customers).9.6.xlsx」から記されていた内容である。
ここで、x印は監視ができるものである
– アンドロイドは2.2 (Froyo)から5.0 (Lolipop)まで傍受ができるらしい。
– iOSは3.xから8.xまで傍受ができるらしい。
– Blackberryは4.5から7.1まで傍受ができるらしい。
– Mac OSは10.6 (Snow Leopard)から10.10 (Yosemite)まで傍受ができるらしい。
– WindowsはXPから10まで傍受ができるらしい。
– LinuxまたはUbuntu、Debian、Linux Mint、Fedoraなどがすべて傍受ができるらしい。
# 果たしてどうして傍受ができるだといえるのか
HTは全世界の国家情報機関や金融圏などに販売していたこのRCSは、先に紹介してもらった通り、本質的で「スパイウェア」である。つまり、傍受できるターゲットにこのスパイウェアを植え付けなければならない。同じくHTもネットワークパケット傍受だけは足りないとRCSの導入を呼びかけた。次はウィキリークスからすでに公開されたことがあるHT側からのプレゼンテーションのデータの一部である。
あの手この手を使ってスパイウェアを植え付けろという話である。そうするとどうやってこのスパイウェアを配信すべきなのか。これに対するHTからのガイドは「RCS.pdf」、「RCS 9 Attack Vectors.pptx」などの文書から確認できる。
– USBやCD-ROMを密かに差し込んでブートさせよ
– メモリカードを差し込めよ
– Wi-Fiルーターを捜索せよ
USBやCD-ROMをひそかに入れてブートさせる手法はエージェントを浸透さたり、装備の押さえつけの後の返却視点で作動させたりして実行できるかもしれない。実際、モロッコがこのシステムを含んだUSBをUN事務局のパソコンに差し込んでUN平和維持軍をハッキングした事実が暴かれた。
– [allafrica] Morocco Seems to Have Hacked UN Computers With Hacking Team Technologies
Wi-Fiルーターを捜索させよというガイドは、韓国のいくつかのルーターのファームウェアが操られてフィッシングサイトへつながった過去の事例を思い出せるとその仕組みが理解できる。
これにHTが提案する、別の浸透方法がいくつかがある。
– インターネットサービスプロバイダー(ISP)を制御せよ
– モバイルサービスプロバイダー(3G/LTE)を制御せよ
– インターネットを通じて拡張子がexeかapkのものを実行させよ
インターネットサービスプロバイダーは私たちが知っているSKブロードバンド、KT、LG U+(注:日本で言うとNTTなど)のようなインターネットケーブル事業者を指すものである。モバイルサービスプロバイダーも同じくSKT、KT、LG U+とサムスン電子みたいな端末機事業者を意味している。これらを制御して特定のユーザのパソコンやスマホに偽自動アップデートを送り、スパイウェアをオートインストールさせようとするのである。HTはこのやり方を同種の会社であるgammagroup.comのガイド文書や動画まっで取ってきて詳しく説明している。流出されたデータで「309_GAMMA-201110-FinFly_ISP.mp4」という動画はもっと赤裸々である。
ネットワーク接続を横取り、監視ターゲットに偽のiTunesアップデートを送ってもらおうとする。つまりこの動画のスクリーンショットにすればできることである。
リモート自動アップデートや自動実行を通じてスパイウェアを植え付け、これでリモートコントロールでパソコンを壊せた例はすでに2013年3月20日のサイバーテロのとき韓国のKBS、MBC、YTN、新韓銀行、農協などが経験したことばあった攻撃手法である。
– [rainygirl.com] 중앙 보안관제의 재앙 – 3.20 사이버테러의 전말
– [rainygirl.com] 中央保安管制の災い―3・20サイバーテロの顛末(韓国語)
危うくまた北朝鮮からの仕業として葬られるところだったこの事件の全貌は、結局中央保安管制システムのハッキングということがわかった
韓国はアルヤクのようなワクチン、アルジップのような圧縮・解凍アプリ、GomPlayerのような様々な動画プレイヤーすべてにインターネットバンキング用セキュリティソフトウェア(ActiveXから拡張子がexeで終わるアプリまで)が次々と自動アップデートされている国なので、ネットワークを通じたリモート浸透に一番最適化された環境をもたらしている。しかもすでに関連の記述的措置を法制化するための「通信保護法改定案」が韓国の国会から提出されてある。この改定案の核心なるものは、通信会社またはSNSの運営会社から傍受設備の設置を義務化させ、これを拒否する場合は処罰となるものである。
流出されたデータの中で「RCS 7.3 – Administration Manual.pdf」など、RCSマニュアルによると、いくつかのアタックを通じてスパイウェアエージェントがインストールされれば、ネットワークから持続的に傍受情報が転送され、ネットワークに繋がらなくても(スマホのデータネットワークを消しても)持続的にデータを集めた後、ネットワークに繋がる時点から再び集めて転送することになっている。転送される経路はまた匿名化されてどこかへ送られるかわからないように実装されていたのがHT側の説明である。エージェントがインストールされたパソコンに、問題の監視エージェントは普段パソコン利用者がよく使っているアプリと非常に似ているプロセスを、見たり確認したりすらできないというのも付いている。「悪性コード」のやり方がそのことである。
システム実装を通じて、国家機関は全国民を対象にして次のような監視画面が運営できるようになる。
# さぁ、見給え。これぞ実際のRCSの起動スクリーンショットだ。
監視ターゲットの現在位置が地図に表示され、監視ターゲットが今スマホやパソコンでやっていること、誰とどの電話通話をしているか、ボイスチャットでどの対話を交わしたのか、スマホカメラで撮られた風景はどうなのか、マイクからとった対話の内容な何か、フェースブックで誰と対話しているのかがすべてひつとの場所から確認できる。映画の中ででたあの場面がついに現実になってしまったのだ。労働組合のストライキ会議をなぜ会社側から気づけたのだろう。カカオトーク(韓国版LINE)の対話内容をなぜ情報課の刑事さんが知っていたのか。私たちは想像の中で考えていた答えを今目の前でリアルで見つめている。
# それでは韓国「5163部隊」はどこ?
ソウルの瑞草区に位置している「5163部隊」は江南・瑞草・松坡予備軍訓練場ではなく、すでにその実体が『時事in』(韓国の週刊時事雑誌)2013年11月の記事から明らかになっていたことがある。
「7452部隊」と並んで国家情報院が使っている仮の名称はまた存在している。「5163部隊」がそのものである。5163部隊や7452部隊は国家情報院のエージェントたちが銀行のローンをもらったり、外部機関に在職証明書を出すときにも使われた名前である。とある銀行の関係者によると「5163部隊と在職証明書に書いてあるから軍務関係者だと思ったが、住所が国家情報院と同じ内谷洞だった」と述べた。
– [시사인] 국정원의 대외용 이름 ‘5163부대’
そう、つまり瑞草区内谷洞にある国家情報院のことである。
(ロゴが見慣れていなくても、おそらく気のせいだろう)
どうして地球の反対側のイタリアのスパイウェア会社・HTはこのシステムを本当に懇ろで願った韓国の情報機関がふつう使っていた仮の名称「5163部隊」という名前を正確に知っていたのだろうか。しかも納品会社の名前まで?
# 事件3日目、なぜどの取材もないのか
流出されたおよそ400GBほどのデータはすでにトレントを通じて全世界へ広く配られている。トレントで広がる以上、このデータは絶対消されてなくて永遠にインターネットを漂い続けるだろう。
[MAGNETリンク関連のredditスレッドのリンク先]
しかも漏れた内容をウェブから確認できるミラーサイトまで登場した。
http://ht.transparencytoolkit.org/
ついでにプログラムのソースコードまでgithubから着々とアップが進んでいる。
https://github.com/hackedteam
すべてのデータがこのようにまるごと暴かれた状況で、なぜ韓国のマスコミでは一切の報道も出ないだろうか。理由は簡単である。これほど外国のマスコミが追っていることで騒がしているのに、この事案の本質について把握できずか、それとも報道できずという、その二つの中の一つであるだろう。
このポストが公開されてから韓国のマスコミがこの事案を同報道するか、真実をどこまで求めるかを見守るべきである。そしてはたして韓国の国家情報院の院長が、または国家情報院の最終レポートを受け取る韓国政府の最高首長がこの事件をどう解明していくかを見守るべきでもある。
私たちの疑問はすぐここに集まるべきである。国家情報院がこのシステムを活用して誰かを監視しようとしていたのか。インターネットがつながっていない北朝鮮の誰かなのか。それとも韓国の誰かなのか。韓国の誰かであれば、どの理由からであるのか。
支出の内訳をさらに見よう。
– 2012年 ライセンス購入などソフトウェア導入費として448,000ユーロ
– 2013年 維持保守の費用として58,850ユーロ
– 2014年 アップグレートおよび維持保守の費用で145,700ユーロ
– 2015年 維持保守の費用で33,850ユーロ
.
.
.
2012年
韓国「5163部隊」がこのソフトウェアを買った頃の2012年の当時国家情報院の院長はこの人であった。(注:ウォン・セフンさん)
2012年、HTが韓国「5163部隊」、すなわち国家情報院からソフトウェア導入費として448,000ユーロを受け取ったその年にはこの出来事があった。(注:12月19日の大統領選挙)
2012年の当時、国家情報院の院長はこのSNSアカウントとかかわり、裁判までに付けられた。
その年の「5163部隊」、すなわち国家情報院にHTが着手費用273,000ユーロなど、合わせて448,000ユーロとなる請求をしてくれた。韓国ウォンでおよそ5億6千万ウォン(約6086万円)に当たる国家予算である。
.
.
.
2014年
韓国「5163部隊」がアップグレードおよび維持保守費用として145,700ユーロを支払った2014年の中にはよりによってこのような出来事があった。(セウォル号事故)
もちろん即時にこのような動きもあった。(注:SNSのデマの流布を規制すべきということに関するニュース)
その後、韓国のネットユーザのサイバー亡命事態を招いたこの出来事もあった。(注:カカオトーク傍受疑惑で国家情報院の院長の裁判に関するニュースと、それにつれてネットユーザがTelegramなどの海外のメッセンジャーを使うきっかけとなった)
その年、「5163部隊」、すなわち国家情報院にHTがアップグレードを名目にして78,000ユーロなど、合わせて145,700ユーロとなる請求をしてくれた。韓国ウォンでおよそ2億ウォン(約1978万円)になる国家予算である。
.
.
.
どうせすべてのことがただの偶然としてあわされたことなのか。
そしてこれは合法だろうか、それとも違法だろうか。
このサイバー武器を全世界の各国の政府機関はどうやって活用していたのだろうか。そして、韓国の「5163部隊」はどうやって活用していたのだろう。
それで、ISP傍受設備の設置を義務付ける法案=通信秘密保護法の改定案が通過された後、私たちのインターネットはどうなるだろうか。
果たして自分のパソコンやスマホにも監視エージェントがもぐりこんでくるのか。
p.s.
1) 流出されたソースコードを世界中のマスコミが分析した結果、HTはそれまでのOSのバグだの、Adobe Flashのバグだの、様々のゼロデー攻撃の脆弱性バグを使ってシステム管理権限を奪取し、危機のリモートコントロールができるようにシステムを実装していたことがわかった。
– [the Register] KILLER! Adobe Flash, Windows zero-day vulns leak from Hacking Team raid
関連した脆弱性がたくさん明かされる予定なので、これからたくさんのサーバやパソコン・スマホが攻撃に露出されるかもしれない。しばらく関連ニュースや記事を注意して見守ったほうがいい。もちろん国内マスコミには関連記事が7月9日を基準にしてまだ存在していない。これからも存在するはずがないので海外のほうから直接呼んだほうがいい。
2) ついでに、世界中マスコミが漏れたデータに含まれたEメールデータを分析した結果、HTは監視ターゲットのデータをパートナーとクライアント(=国家情報機関)と一緒に共有し、持続的で攻撃・浸透手法を発展させてきたのではないかと思われる。
HTがクライアントと交わしたEメール。high value targetは誰なのだろうか。
Eメールデータについてもっとたくさんの分析が必要だと思う。各国の情勢に対する分析メールまで流出されたほど、HTや韓国の機関がお互い取っていたEメールももうすぐ明らかになると考えられる。誰かが本来の使命によって頑張ってもらえば。
3) ブログの投稿以後、初めての関連報道が韓国日報から出た。4時40分に送稿いたしま…
– [한국일보] 伊 해킹프로그램 판매社 고객에 한국 정보기관도 있었다
ー 『韓国日報』伊ハッキングアプリ販売社クライアントの中に韓国情報機関か
次のターンはこれ以上にならないとならない。
# 関連リンク
– [미스핏츠] 지금 세계에선 무슨 일이? – ‘해킹 팀’ 사건 관련 외신 보도 모아보기
ー 「MisFits」いま世界では何が起きる?-「ハッキングチーム」事件関連の外国発報道まとめ
――――――
このポストはMisfitsにも提供されました。http://misfits.kr/9337
このポストはSlownewsにも提供されました。http://slownews.kr/43339
このポストは7月9日CBSラジオ「時事ジョッキー・チョン・カニョンでございます」にも紹介されました。
7月9日早朝に投稿した以来、このポストに対する後続取材の内容がいくつかのメディアにも報道しはじめました。(全部韓国語になっています)
– 7月9日 오마이뉴스 “<오마이뉴스> ‘국정원 스파이웨어’ 보도, 증거 나왔다”
– 7月10日 오마이뉴스 “국정원, 불법 감청프로그램 구매 부인 안 해”
– 7月10日 뉴스타파 “국정원, ‘해킹팀’ 프로그램으로 휴대폰 감청했다”
– 7月10日 JTBC 뉴스룸 “‘감청 프로그램 구매 의혹’ 국정원 “확인해줄 수 없다””
– 7月11日 한겨레 1면 “국정원, 대선 전 ‘무차별 해킹’ 프로그램 구입 의혹”
– 7月11日 한겨레 사회면 “국정원 구매 의혹 ‘해킹 프로그램’, SNS까지 ‘손바닥 보듯’”
– 7月11日 JTBC 뉴스룸 “감청 프로그램, 우리나라 전체 모니터링 할 수 있다”
– 7月10日 発行 時事INなど
この内容に関する真相を求める野党の声明が発表されました。
参考:リンク先のポストの投稿は7月9日に行われたもので、その時まで韓国のほとんどのマスコミでも報じられていませんでした。ポストを作成したRainygirlさんから許可を得て日本語で訳したものです。
アップデート
12時半:ポスト初投稿
2時半:追記およびブリーフィングの翻訳追加
韓国の5163部隊はなぜスパイウェア会社へ8億6千万ウォンを送ったのか?(2015.7.9.)
[多少のスクリーンショットが含まれています]
さる7月6日、イタリアのスパイウェア開発会社「Hacking Team(HT)」がハッキングされ、400GBに及ぶ内部データがまるごとトレントへ流出された。この会社から漏れたデータにはソフトウェアのソースコードを含め、職員の個人情報や退職した職員の辞職届はもちろん、年収かボーナス順位など敏感な人事情報まで入れ込まれていた。しかしながら、海外のマスコミが注目した理由は別のところにある。流出されたデータには、このスパイウェア会社から傍受用デバイスを購買した各国の機関ら、特に政府機関についてすべての情報が含まれていたのである。
– [Wall Street Journal] Hacking Team, the Surveillance Tech Firm, Gets Hacked
– [the guardian] Hacking Team hacked: firm sold spying tools to repressive…
– [ZDNet] Hacking Team hit by breach; leak suggests it sold spyware to oppressive regimes
– [WIRED] Hacking Team Breach Shows a Global Spying Firm Run Amok
– [VERGE] Hacking Team spyware company hacked, embarrassing emails revealed
そしれWIRED UKなどのマスコミを通じ、この会社のソフトウェアを買った顧客のなかで「韓国も含まれている」という報道が出始めた。
Files reveal that Hacking Team customers include South Korea, Kazakhstan, Azerbaijan, Saudi Arabia, Lebanon, Egypt, Nigeria and Sudan.
– [WIRED UK] Hacking Team’s oppressive regimes customer list revealed in hack
そして7月9日の午前3時までも、韓国のどのメジャーメディアもこの事件を報道していなかった。Hacking Team currently has, based on internal documents leaked by the attackers on Sunday evening, customers in the following locations: Egypt, Ethiopia, Morocco, Nigeria, Sudan Chile, Colombia, Ecuador, Honduras, Mexico, Panama, United States Azerbaijan, Kazakhstan, Malaysia, Mongolia, Singapore, South Korea, Thailand…
– [CSO Online] Hacking Team hacked, attackers claim 400GB in dumped data
今までこの事件を言った韓国のメディアは小規模のセキュリティ専門ネットニュースである「保安ニュース」というところや、[電子新聞」というのが唯一である。しかも電子新聞は初報道から匿名の専門家の言い方を借りて「人権侵害としてみなすのは無理がある」と言って論点を葬ろうとしている。果たしてそうだろうか。今まで韓国政府やこの会社の間にどのことが起きていたのか。
それでHTから流出されたデータをすべて確保してみた。
#Hacking Teamの顧客、韓国5163部隊
ご覧の台帳は漏れたデータの中で「Client Overview_list_20150603.xlsx」というシートファイルに記された内容である。
イタリアのスパイウェア会社HTと取引をしたアメリカの機関の中には、すぐFBIという名前も見られる。
一方「South Korea」つまり韓国の機関名も見えているが、「The 5163 Army Division」つまり「5163部隊」と記録されている。
HTは韓国の「5163部隊」を介して2012年から合わせて68万6400ユーロを受けていたと文書に記録されていた。
7月9日韓国の公示為替レートとして、1ユーロ=1253ウォンを適用すれば、韓国「5163部隊」はおよそ8億6千万ウォン(日本円で約9324万円)ぐらいの国家予算をイタリアのスパイウェア会社に支払ったのが文書の内容である。そうすれば8億ウォンに及ぶ国家予算でこの部隊はいったい何を買っていたのだろうか。これは「請求書」に記されていた内容を通じて把握しやすくなる。漏れたデータの中、「Invoice – 003_2015 – Army Division Korea.pdf」などによると、次のようである。
– 2012年 ライセンス購入などソフトウェア導入費として448,000ユーロ
– 2013年 維持保守の費用として58,850ユーロ
– 2014年 アップグレートおよび維持保守の費用で145,700ユーロ
– 2015年 維持保守の費用で33,850ユーロ
「Remote Control System」(以下RCS)と記されているのがわかる。一度見るとNateOnのリモートPC(Microsoftのリモートデスクトップと似ている、韓国のパソコンメッセンジャーアプリ)のようなこのアプリの実態は「傍受アプリ」である。これに対する内容はひょんなとこにウィキリークス(Wikileaks)から見つけられる。
ステルス・スパイウェアに基づき、パソコンやスマホを攻撃・感染・監視することができるシステムであり、ターゲットユーザの暗号化された通信(スカイプなどのメッセンジャまたはボイスチャットアプリ、PGP暗号コミュニケーション、暗号化されたウェブメールなど)まですべてが監視できるシステムであることが、この会社の紹介である。しかもこの会社は動画CMまで製作してホームページで上げていた。
(注:Youtubeの動画は現在リンク切れ。ポストの作成者の話によると、徹夜して動画の字幕を付けたらしい)
だいたいこういうのを作っているスパイウェア開発会社・HTと、韓国の「5163部隊」が取引をしていたわけである。
漏れたデータの中で「RCS 8 Technical.pptx」によると、この会社が監視できるといったサービスは次のようである。
つまりボイスチャット・Eメール・SNSすべてが傍受できるということである。
もちろん、韓国の国家情報院がグーグルのGメールを傍受しようとしていた疑惑はハンギョレの2011年9月の記事を通じて一度問題化されていた。
[한겨레] 구글 지메일도 국정원이 감청, 2011. 9. 6.
『ハンギョレ』グーグルGメールも国家情報院が傍受、2011年9月6日(韓国語)
当時技術的むずかしさで、果たしてこれができるだろうかというのがハンギョレからの主な内容であった。しかしネットワーク段階から認証書の取り換え・パソコンに傍受アプリインストールなどの手法がすでにあったので不可能なことではなかった。そして次の年この会社との取引を始めてからは関連システムの実装作業が本格的に行われたとみられる。
#なにを傍受していたのか
韓国「5163部隊」が買ったHTのRCSで実装できる傍受コンテンツはご覧のようになる。次は漏れたデータで「RCS_9.1_Features_Compatibility_v1.2.pdf」ファイルからとったものである。
デスクトップの場合、WEBカメラを通じた盗察・マイクを通じた盗聴・チャット・ファイル確保・キー入力・パスワード・接続サイト・スクリーンショットなど…
モバイルの場合、フォンカメラを通じた盗撮・マイクを通じた盗聴・位置情報・スクリーンショットなど…
また、同じデータから明かすことで、デスクトップやモバイルすべてが特定アプリのリモート実行・記録・アンインストールおよび情報を無断で削除することができるのを、会社側から説明している。
この会社が紹介している、感染できるパソコン・スマホの環境はご覧になる。次は漏れたデータで「Compatibillity List (not for customers).9.6.xlsx」から記されていた内容である。
ここで、x印は監視ができるものである
– アンドロイドは2.2 (Froyo)から5.0 (Lolipop)まで傍受ができるらしい。
– iOSは3.xから8.xまで傍受ができるらしい。
– Blackberryは4.5から7.1まで傍受ができるらしい。
– Mac OSは10.6 (Snow Leopard)から10.10 (Yosemite)まで傍受ができるらしい。
– WindowsはXPから10まで傍受ができるらしい。
– LinuxまたはUbuntu、Debian、Linux Mint、Fedoraなどがすべて傍受ができるらしい。
# 果たしてどうして傍受ができるだといえるのか
HTは全世界の国家情報機関や金融圏などに販売していたこのRCSは、先に紹介してもらった通り、本質的で「スパイウェア」である。つまり、傍受できるターゲットにこのスパイウェアを植え付けなければならない。同じくHTもネットワークパケット傍受だけは足りないとRCSの導入を呼びかけた。次はウィキリークスからすでに公開されたことがあるHT側からのプレゼンテーションのデータの一部である。
あの手この手を使ってスパイウェアを植え付けろという話である。そうするとどうやってこのスパイウェアを配信すべきなのか。これに対するHTからのガイドは「RCS.pdf」、「RCS 9 Attack Vectors.pptx」などの文書から確認できる。
– USBやCD-ROMを密かに差し込んでブートさせよ
– メモリカードを差し込めよ
– Wi-Fiルーターを捜索せよ
USBやCD-ROMをひそかに入れてブートさせる手法はエージェントを浸透さたり、装備の押さえつけの後の返却視点で作動させたりして実行できるかもしれない。実際、モロッコがこのシステムを含んだUSBをUN事務局のパソコンに差し込んでUN平和維持軍をハッキングした事実が暴かれた。
– [allafrica] Morocco Seems to Have Hacked UN Computers With Hacking Team Technologies
Wi-Fiルーターを捜索させよというガイドは、韓国のいくつかのルーターのファームウェアが操られてフィッシングサイトへつながった過去の事例を思い出せるとその仕組みが理解できる。
これにHTが提案する、別の浸透方法がいくつかがある。
– インターネットサービスプロバイダー(ISP)を制御せよ
– モバイルサービスプロバイダー(3G/LTE)を制御せよ
– インターネットを通じて拡張子がexeかapkのものを実行させよ
インターネットサービスプロバイダーは私たちが知っているSKブロードバンド、KT、LG U+(注:日本で言うとNTTなど)のようなインターネットケーブル事業者を指すものである。モバイルサービスプロバイダーも同じくSKT、KT、LG U+とサムスン電子みたいな端末機事業者を意味している。これらを制御して特定のユーザのパソコンやスマホに偽自動アップデートを送り、スパイウェアをオートインストールさせようとするのである。HTはこのやり方を同種の会社であるgammagroup.comのガイド文書や動画まっで取ってきて詳しく説明している。流出されたデータで「309_GAMMA-201110-FinFly_ISP.mp4」という動画はもっと赤裸々である。
ネットワーク接続を横取り、監視ターゲットに偽のiTunesアップデートを送ってもらおうとする。つまりこの動画のスクリーンショットにすればできることである。
リモート自動アップデートや自動実行を通じてスパイウェアを植え付け、これでリモートコントロールでパソコンを壊せた例はすでに2013年3月20日のサイバーテロのとき韓国のKBS、MBC、YTN、新韓銀行、農協などが経験したことばあった攻撃手法である。
– [rainygirl.com] 중앙 보안관제의 재앙 – 3.20 사이버테러의 전말
– [rainygirl.com] 中央保安管制の災い―3・20サイバーテロの顛末(韓国語)
危うくまた北朝鮮からの仕業として葬られるところだったこの事件の全貌は、結局中央保安管制システムのハッキングということがわかった韓国はアルヤクのようなワクチン、アルジップのような圧縮・解凍アプリ、GomPlayerのような様々な動画プレイヤーすべてにインターネットバンキング用セキュリティソフトウェア(ActiveXから拡張子がexeで終わるアプリまで)が次々と自動アップデートされている国なので、ネットワークを通じたリモート浸透に一番最適化された環境をもたらしている。しかもすでに関連の記述的措置を法制化するための「通信保護法改定案」が韓国の国会から提出されてある。この改定案の核心なるものは、通信会社またはSNSの運営会社から傍受設備の設置を義務化させ、これを拒否する場合は処罰となるものである。
流出されたデータの中で「RCS 7.3 – Administration Manual.pdf」など、RCSマニュアルによると、いくつかのアタックを通じてスパイウェアエージェントがインストールされれば、ネットワークから持続的に傍受情報が転送され、ネットワークに繋がらなくても(スマホのデータネットワークを消しても)持続的にデータを集めた後、ネットワークに繋がる時点から再び集めて転送することになっている。転送される経路はまた匿名化されてどこかへ送られるかわからないように実装されていたのがHT側の説明である。エージェントがインストールされたパソコンに、問題の監視エージェントは普段パソコン利用者がよく使っているアプリと非常に似ているプロセスを、見たり確認したりすらできないというのも付いている。「悪性コード」のやり方がそのことである。
システム実装を通じて、国家機関は全国民を対象にして次のような監視画面が運営できるようになる。
# さぁ、見給え。これぞ実際のRCSの起動スクリーンショットだ。
監視ターゲットの現在位置が地図に表示され、監視ターゲットが今スマホやパソコンでやっていること、誰とどの電話通話をしているか、ボイスチャットでどの対話を交わしたのか、スマホカメラで撮られた風景はどうなのか、マイクからとった対話の内容な何か、フェースブックで誰と対話しているのかがすべてひつとの場所から確認できる。映画の中ででたあの場面がついに現実になってしまったのだ。労働組合のストライキ会議をなぜ会社側から気づけたのだろう。カカオトーク(韓国版LINE)の対話内容をなぜ情報課の刑事さんが知っていたのか。私たちは想像の中で考えていた答えを今目の前でリアルで見つめている。
# それでは韓国「5163部隊」はどこ?
ソウルの瑞草区に位置している「5163部隊」は江南・瑞草・松坡予備軍訓練場ではなく、すでにその実体が『時事in』(韓国の週刊時事雑誌)2013年11月の記事から明らかになっていたことがある。
「7452部隊」と並んで国家情報院が使っている仮の名称はまた存在している。「5163部隊」がそのものである。5163部隊や7452部隊は国家情報院のエージェントたちが銀行のローンをもらったり、外部機関に在職証明書を出すときにも使われた名前である。とある銀行の関係者によると「5163部隊と在職証明書に書いてあるから軍務関係者だと思ったが、住所が国家情報院と同じ内谷洞だった」と述べた。
– [시사인] 국정원의 대외용 이름 ‘5163부대’
そう、つまり瑞草区内谷洞にある国家情報院のことである。
(ロゴが見慣れていなくても、おそらく気のせいだろう)
どうして地球の反対側のイタリアのスパイウェア会社・HTはこのシステムを本当に懇ろで願った韓国の情報機関がふつう使っていた仮の名称「5163部隊」という名前を正確に知っていたのだろうか。しかも納品会社の名前まで?
# 事件3日目、なぜどの取材もないのか
流出されたおよそ400GBほどのデータはすでにトレントを通じて全世界へ広く配られている。トレントで広がる以上、このデータは絶対消されてなくて永遠にインターネットを漂い続けるだろう。
[MAGNETリンク関連のredditスレッドのリンク先]
しかも漏れた内容をウェブから確認できるミラーサイトまで登場した。
http://ht.transparencytoolkit.org/
ついでにプログラムのソースコードまでgithubから着々とアップが進んでいる。
https://github.com/hackedteam
すべてのデータがこのようにまるごと暴かれた状況で、なぜ韓国のマスコミでは一切の報道も出ないだろうか。理由は簡単である。これほど外国のマスコミが追っていることで騒がしているのに、この事案の本質について把握できずか、それとも報道できずという、その二つの中の一つであるだろう。
このポストが公開されてから韓国のマスコミがこの事案を同報道するか、真実をどこまで求めるかを見守るべきである。そしてはたして韓国の国家情報院の院長が、または国家情報院の最終レポートを受け取る韓国政府の最高首長がこの事件をどう解明していくかを見守るべきでもある。
私たちの疑問はすぐここに集まるべきである。国家情報院がこのシステムを活用して誰かを監視しようとしていたのか。インターネットがつながっていない北朝鮮の誰かなのか。それとも韓国の誰かなのか。韓国の誰かであれば、どの理由からであるのか。
支出の内訳をさらに見よう。
– 2012年 ライセンス購入などソフトウェア導入費として448,000ユーロ
– 2013年 維持保守の費用として58,850ユーロ
– 2014年 アップグレートおよび維持保守の費用で145,700ユーロ
– 2015年 維持保守の費用で33,850ユーロ
.
.
.
2012年
韓国「5163部隊」がこのソフトウェアを買った頃の2012年の当時国家情報院の院長はこの人であった。(注:ウォン・セフンさん)
2012年、HTが韓国「5163部隊」、すなわち国家情報院からソフトウェア導入費として448,000ユーロを受け取ったその年にはこの出来事があった。(注:12月19日の大統領選挙)
2012年の当時、国家情報院の院長はこのSNSアカウントとかかわり、裁判までに付けられた。
その年の「5163部隊」、すなわち国家情報院にHTが着手費用273,000ユーロなど、合わせて448,000ユーロとなる請求をしてくれた。韓国ウォンでおよそ5億6千万ウォン(約6086万円)に当たる国家予算である。
.
.
.
2014年
韓国「5163部隊」がアップグレードおよび維持保守費用として145,700ユーロを支払った2014年の中にはよりによってこのような出来事があった。(セウォル号事故)
もちろん即時にこのような動きもあった。(注:SNSのデマの流布を規制すべきということに関するニュース)
その後、韓国のネットユーザのサイバー亡命事態を招いたこの出来事もあった。(注:カカオトーク傍受疑惑で国家情報院の院長の裁判に関するニュースと、それにつれてネットユーザがTelegramなどの海外のメッセンジャーを使うきっかけとなった)
その年、「5163部隊」、すなわち国家情報院にHTがアップグレードを名目にして78,000ユーロなど、合わせて145,700ユーロとなる請求をしてくれた。韓国ウォンでおよそ2億ウォン(約1978万円)になる国家予算である。
.
.
.
どうせすべてのことがただの偶然としてあわされたことなのか。
そしてこれは合法だろうか、それとも違法だろうか。
このサイバー武器を全世界の各国の政府機関はどうやって活用していたのだろうか。そして、韓国の「5163部隊」はどうやって活用していたのだろう。
それで、ISP傍受設備の設置を義務付ける法案=通信秘密保護法の改定案が通過された後、私たちのインターネットはどうなるだろうか。
果たして自分のパソコンやスマホにも監視エージェントがもぐりこんでくるのか。
p.s.
1) 流出されたソースコードを世界中のマスコミが分析した結果、HTはそれまでのOSのバグだの、Adobe Flashのバグだの、様々のゼロデー攻撃の脆弱性バグを使ってシステム管理権限を奪取し、危機のリモートコントロールができるようにシステムを実装していたことがわかった。
– [the Register] KILLER! Adobe Flash, Windows zero-day vulns leak from Hacking Team raid
関連した脆弱性がたくさん明かされる予定なので、これからたくさんのサーバやパソコン・スマホが攻撃に露出されるかもしれない。しばらく関連ニュースや記事を注意して見守ったほうがいい。もちろん国内マスコミには関連記事が7月9日を基準にしてまだ存在していない。これからも存在するはずがないので海外のほうから直接呼んだほうがいい。
2) ついでに、世界中マスコミが漏れたデータに含まれたEメールデータを分析した結果、HTは監視ターゲットのデータをパートナーとクライアント(=国家情報機関)と一緒に共有し、持続的で攻撃・浸透手法を発展させてきたのではないかと思われる。
HTがクライアントと交わしたEメール。high value targetは誰なのだろうか。
Eメールデータについてもっとたくさんの分析が必要だと思う。各国の情勢に対する分析メールまで流出されたほど、HTや韓国の機関がお互い取っていたEメールももうすぐ明らかになると考えられる。誰かが本来の使命によって頑張ってもらえば。
3) ブログの投稿以後、初めての関連報道が韓国日報から出た。4時40分に送稿いたしま…
– [한국일보] 伊 해킹프로그램 판매社 고객에 한국 정보기관도 있었다
ー 『韓国日報』伊ハッキングアプリ販売社クライアントの中に韓国情報機関か
次のターンはこれ以上にならないとならない。
# 関連リンク
– [미스핏츠] 지금 세계에선 무슨 일이? – ‘해킹 팀’ 사건 관련 외신 보도 모아보기
ー 「MisFits」いま世界では何が起きる?-「ハッキングチーム」事件関連の外国発報道まとめ
――――――
このポストはMisfitsにも提供されました。http://misfits.kr/9337
このポストはSlownewsにも提供されました。http://slownews.kr/43339
このポストは7月9日CBSラジオ「時事ジョッキー・チョン・カニョンでございます」にも紹介されました。
7月9日早朝に投稿した以来、このポストに対する後続取材の内容がいくつかのメディアにも報道しはじめました。(全部韓国語になっています)
– 7月9日 오마이뉴스 “<오마이뉴스> ‘국정원 스파이웨어’ 보도, 증거 나왔다”
– 7月10日 오마이뉴스 “국정원, 불법 감청프로그램 구매 부인 안 해”
– 7月10日 뉴스타파 “국정원, ‘해킹팀’ 프로그램으로 휴대폰 감청했다”
– 7月10日 JTBC 뉴스룸 “‘감청 프로그램 구매 의혹’ 국정원 “확인해줄 수 없다””
– 7月11日 한겨레 1면 “국정원, 대선 전 ‘무차별 해킹’ 프로그램 구입 의혹”
– 7月11日 한겨레 사회면 “국정원 구매 의혹 ‘해킹 프로그램’, SNS까지 ‘손바닥 보듯’”
– 7月11日 JTBC 뉴스룸 “감청 프로그램, 우리나라 전체 모니터링 할 수 있다”
– 7月10日 発行 時事INなど
この内容に関する真相を求める野党の声明が発表されました。
■ 国家情報院は盗聴・傍受アプリケーションを使って何をしていたのかをそれぞれ解明すべき
イタリアのハッキング会社がハッキングをされて流出されたクライアント情報の中に、韓国の国家情報院が含まれていたのがわかった。
メディアによりますと、国家情報院は仮の名称としてこの会社に2012年からグーグルGメールとスマートフォンなどを盗聴・傍受するアプリケーションを購入したことが知られていた。
特にこのアプリケーションを使えば、セキュリティが徹底であるというGメールなど、事実上のすべてを盗聴および傍受することができるらしい。
国家情報院がこのようなアプリケーションを購入して使っていないはずはないと考えられる。
これを反証するよう、国家情報院は今年の1月まで何か月単位でずっと維持と保守をやっていたので、使っていなかったという言い訳はしないべきであろう。
「違法視察」疑惑は避けにくいと判断し、2012年は大統領選挙があった年であったということで、選挙に利用された可能性について疑わざるをえない。
国家情報院は今すぐこのアプリケーションの購入要否と使い所などを詳しく明らかにするべきであり、十分な解明がなされなかったときは国会の場で真相を明らかにすべきということを明確にする。2015年7月10日
新政治民主連合ブリーフィング室
– 新政治民主連合キム・ソンス対弁人、午後の原案書面ブリーフィングより