ロシア全土に設置される通信傍受デバイス、「SORM」の関連文書が丸見え状態だったことが判明!
2019/09/28 https://www.gizmodo.jp/2019/09/russia-sorm.html
ロシアの国内監視事情に震えるがいい!
カリフォルニアに本拠を置くサイバーセキュリティ企業が9月18日、通信システム関連の内部データがネット上で一般公開されていることを明らかにています。同社の調査員が発見した1.7TB以上もの公開ファイルの中には、ロシア全土で使われる合法的な監視システムの仕様が含まれていました。
ロシアでは国内監視が合法的に運用されている
UpGuardに所属する情報漏洩ハンターの発見を最初に伝えたのはTechCrunchです。キャッシュからは、主要インフラに関する詳細文章が確認できました。その中には、ロシア当局が電話やインターネットなんかの通信データをひそかに収集するための通信傍受デバイスの記載も。
文書は主に、ロシア最大の電気通信事業者Mobile TeleSystems(MTS)と、MTSのネットワークの維持/更新を請け負うNokiaに関するもののようです。
西側諸国では「SORM」あるいは「スパイ調査活動システム」として知られる同通信傍受デバイスは、ロシアの国内監視において重要な役割をにないます。ロシアのセキュリティ機関FSB(旧KGB)により使用が承認されていて、デバイスの設置と保守は法律により通信事業者に委任されます。
初代デバイスが開発されたのは1995年。 2014年に開発された最新バージョンでは、通信データを詳細に検査してログの記録や検閲ができる「ディープ・パケット・インスペクション(DPI)」機能も備わっていることがわかっています。
当局がデータにアクセスし放題
プーチン大統領の警護機関SBPや、そのほかの機関もSORMが収集したデータを利用する可能性があります。ロシアのデジタル著作権の専門家はTechCrunchに、一般的にSORM関連の仕事は特別扱いだと語っています。
じつは、数多くの国家が通信プロバイダーに、特定のデータを保持することやリアルタイムで盗聴するためのテクノロジーを設置することを要求しています。データプライバシー保護の範囲は国によってさまざまで、データが強力に保護される国もあれば、警察によるデータへのアクセスを取り締まる規則のない国もあります。
2016年にヤロヴァヤ法が通り、ロシアの電気通信事業者はテキストメッセージや電話による会話、その他の通信を、最大6カ月間保存しておくことが義務づけられました。メタデータに関しては最大3年間です。当局がこれらの情報にアクセスする際には、裁判所命令は求められません。
アメリカでは、いくつかの特別な状況を除いて、法執行機関が同様の情報にアクセスする前には令状が必要です。特定の”国家安全保障”を理由とする免除はあり、その際はFBIなどの機関が令状なしにネットや電話のデータを収集できます。また別のパターンとして、181日以上サーバーに保存されたメールは、「Stored Communications Act(SCA:オンラインに保存された情報に関するプライバシー保護を規定する法令))」にもとづいて、令状なしにアクセスできるケースがあります。
致命的な凡ミスからの情報漏洩
UpGuardは、公開データはセキュリティ保護のかかっていないバックアップデバイスに保存されてたこと、その大半がNokiaのものだったことを報告しています。後に、Nokiaの従業員がデータを、どこの馬の骨とも知れないサードパーティ業者に引き渡したことが判明。この業者は会社の業務手順、セキュリティポリシー、そして個人的な責任感のすべてに従い損ねたようです。
UpGuardによると、9月13日の時点でデータへのアクセスはできなくなったようです。
「影響力と機密性あるSORMシステムに関連するデータを公のインターネットに公開したのは一大事です」とUpGuardは声明で述べています。「国内最大の通信プロバイダー向けに設置した、最新ハードウェア一覧と思われる情報が漏洩するのは前代未聞です。」
UpGuardのレポートはここから確認できます。UpGuardが、監視システムのセキュリティ脆弱性を指摘したりしてて興味深いです。SORMの写真なんかもあるよ!
ロシアの支援を受けたハッカー集団間のコード共有状況が明らかに?
2019/09/28 https://japan.zdnet.com/article/35143143/
ロシア政府の支援を受けているハッカー集団は、互いにコードを共有することがめったになく、共有する場合も、たいていは同じ情報機関が管理するグループ間で行われるという。米国時間9月24日に発表された新たな共同報告書で明らかになった。
Check Point Software Technologiesとイスラエルのセキュリティ企業Intezerが共同で作成したこの報告書は、この分野で今までに類を見ないものだ。両社は、これまでにロシアが支援するハッカー集団に関連があるとされた2000近くのマルウェアサンプルを調べた。これらのマルウェアサンプルが互いにどのように関係しているかを知るためだ。
この調査で、2万2000のつながりとマルウェア間で共通する385万のコードが見つかったという。
また、この大規模な調査で、ロシアのAPT(Advanced Persistent Threat:政府の支援を受けたハッカー集団などによる高度で継続的な脅威を指す)は通常、互いにコードを共有していないケースが多いことが分かったようだ。
コードが共有されているまれな例では、同じ情報機関内でコードを再利用しており、対外サイバースパイ活動を担当するロシアの3つの主要な機関が、活動で協力関係にないことを示している。
報告書の所見から、ロシアのサイバー活動に関して、報道機関によるこれまでの調査だけでなく、米国外の情報機関による報告書の内容も裏付けられた。
これまでの報告書から、ロシアのサイバースパイ活動はいずれも、連邦保安庁(FSB)、対外情報庁(SVR)、連邦軍参謀本部情報総局(GRU)という3つの諜報機関が関与していることを突き止めることができた。これらの機関は互いに協力したり調整したりしていないことが明らかになっていたという。
ロシア政府が、3つの機関の競争を促してきたとの見方もある。各機関はそれぞれ独立して活動し、資金をめぐって競い合っているようだ。中国や北朝鮮の政府が支援するハッカーの間で、ツールキットを他のハッカーと共有することはよく見受けられるが、ロシアのハッカー集団は、それぞれのグループがツールキットを開発し、外部に開示しないとみられる。
研究者は次のように述べている。「ロシアのAPTに属する組織は、それぞれが専任のマルウェア開発チームを抱えており、何年も並行して類似のマルウェアツールキットやフレームワークに取り組んでいる」
「各アクターは、さまざまな活動やマルウェアファミリー間でコードを再利用しているが、異なるアクター間で共有されているツールやライブラリー、フレームワークは1つもない」
研究者によると、これらの調査結果は、ロシアのサイバースパイ組織が活動する上でのセキュリティに多大な労力を注いでいることを示している可能性があるという。
研究者は、「異なる組織がさまざまな標的に対して同じツールを再利用しないようにすることで、ある攻撃が失敗した場合に進行中の他のアクティブな活動が露見するリスクを排除している」と説明している。
この研究チームは24日、ウェブサイトを開設し、分析したロシアのAPTファミリーなどのサンプル間のつながりを明らかにするインタラクティブマップを公開した。
また、ホストやファイルをスキャンしてロシアのAPTが頻繁に再利用するコードが仕込まれていないかを調べるシグネチャーベースのツールを公開した。このツールは、ロシアの古いAPTマルウェアとつながり(共通のコード)を持つマルウェアに感染しているかどうかを検知するのに役立つはずだ。
この研究に関するさらなる詳細はCheck PointまたはIntezerのウェブサイトで確認できる。
