Hacking Team社の情報漏えいで明らかになったリーガル・マルウェア

最近「リーガル・マルウェア」という言葉をよく耳にするようになりました。リーガル・マルウェアとは、政府や法執行機関、諜報機関などが合法的に情報を収集するためのソフトウェアのことを指します。合法とはいえ、その活動はマルウェアそのものと言えます。そのため、リーガル・マルウェアの使用には法的な根拠が求められます。

インターネットやPC、スマートデバイスの普及によってサイバー犯罪も多様化し、しかもその犯罪は迅速に行われます。そのため、疑わしい人物に対して地道に証拠を揃えていき、捜査令状を取ってなどという従来の捜査方法では、サイバー犯罪者は逃げてしまいます。疑わしい人物をリアルタイムに監視し、怪しい行動をその場で記録していくような捜査が必要になるわけです。

リーガル・マルウェア

そこで、リーガル・マルウェアが使用されます。法執行機関や諜報機関は疑わしい人物のPCなどにリーガル・マルウェアを仕込ませ、さまざまな情報を収集します。リーガル・マルウェアにはいくつかの種類がありますが、PCに常駐して操作ログやストレージの情報を集めたり、PCのカメラやマイクを起動させたり、位置情報、通話やメッセージ、ソーシャルメディアへの書き込みなどの内容を記録し、機関に送信します。これらはすべてリモートで行われます。いわば、犯罪捜査のためのモニタリングツールです。

このようにリーガル・マルウェアは、活動内容はマルウェアそのものと言えますが、捜査などを目的としているため合法とされています。感覚としては、強制捜索や差し押さえ、容疑者へのX線検査や尿検査、GPS発信器の取り付けなどと同じようなものと言えます。そのためリーガル・マルウェアは機密として、その全貌は明らかにされていませんでした。ところが2015年7月、イタリアの「Hacking Team」という企業がサイバー攻撃を受け、機密情報が漏えいしました。この企業は、政府や法執行機関、諜報機関などにリーガル・マルウェアを作成、販売していました。

多くのセキュリティ・リサーチャーが漏えいした情報を調査した結果、ゼロデイ状態の複数の脆弱性を確認しました。リーガル・マルウェアもマルウェアと同様に、ターゲットのPCにインストール、つまり感染させる必要があるため、まだ公開はおろか、認知もされていない脆弱性を把握していたのです。漏えいした情報の中には、こうしたゼロデイ脆弱性を悪用するためのエクスプロイトコードが3種類含まれていました。そのうちの2つが「Adobe Flash Player」、ひとつが「Windows」の重大な脆弱性に対するものでした。これらの脆弱性は、その後ベンダーから対応パッチが提供され、現在は解消されています。

リーガル・マルウェアは、従来のマルウェアに比べて非常に高度で多機能なことが特徴です。まず、OSより下位層にあるBIOS UEFIにインストールされます。これによりセキュリティ対策ソフトなどによる検知を難しくするとともに、PCのさまざまな機能にアクセスすることを可能にしています。また対象とするOSがWindowsだけでなく、MacOSやLinux、さらにはAndroid、iOS、Blackberryなどのスマートデバイスでも動作します。使用するプロトコルはHTTPです。

日本の「防衛省」「公安調査庁」「海上自衛隊」の名前も。。。

リーガル・マルウェアを捜査に活用することで、これまでにいくつかの事件が解決されています。新聞で報道された例では、FBIが児童ポルノの容疑者を逮捕するために、Firefoxの脆弱性を利用してリーガル・マルウェアを潜り込ませ、Torサーバを利用可能にしたものなどがあります。またBitCoinの捜査においては、捜査当局が令状を取得せずにアイスランドのサーバにアクセスした可能性があるという報道もありました。

情報が漏えいしたHacking Teamでは、リーガル・マルウェアを複数の国に対して営業をかけていたことが判明しており、防衛省の技術研究本部や公安調査庁、また海上自衛隊の隊員に接触した可能性があるとされています。その真偽はともかく、Hacking Teamの情報漏えいによって、今後のサイバー犯罪に悪影響を与える可能性があります。つまり、リーガル・マルウェアの高度な技術が標的型攻撃などに利用される可能性です。

たとえば、これまでのリモートアクセスツール(RAT)や不正送金ツールなどは、主にWindowsを対象としており、機能的にもキー入力の記録やスクリーンショット、ブラウザの保存情報などにとどまっていました。今後はモバイルを含む多くのOSを標的にBIOSレベルで感染し、さまざまな悪意のある活動を行う可能性があります。もちろん、セキュリティ対策ベンダーもリーガル・マルウェアを研究していると思われますが、今後の動向に注意したいところです。

リーガル・マルウェアと従来の悪性ツールとの比較(出所:デロイトトーマツ)

リーガル・マルウェアと従来の悪性ツールとの比較(出所:デロイトトーマツ)