Kaspersky Lab、Equationマルウェア検知インシデントに関する内部調査の結果を公開

2017年11月20日
ビジネスニュース

~ 機密データが保存されたコンピューターに、複数の第三者がアクセスした可能性を示す新たな調査結果~

[本リリースは、2017年11月16日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

The Wall Street Journalは10月初旬、米国家安全保障局(NSA)職員の自宅コンピューターから機密データをダウンロードするためにKaspersky Labのソフトウェアが使用されたと主張する記事を公開しました。サイバースパイ行為やサイバー犯罪の最前線で20年以上にわたり戦い続けているKaspersky Labは、このような疑惑を向けられることを非常に深刻に受け止めています。本件に対するあらゆる懸念に回答するために、内部調査を実施しました。

当社はThe Wall Street Journalで10月初旬に報道されたインシデントに対して内部調査を実施し、10月25日にその結果を中間報告として公開しました。今回の発表は、中間報告を裏付けるとともに、本件に関するカスペルスキー製品のテレメトリーに関する追加情報を提供するものです。このテレメトリーは、2014年に発生したインシデントの期間中に、当該コンピューターで不審な活動が記録されたことを示しています。

中間報告の概要:

  • 2014年9月11日、米国を拠点とするユーザーのコンピューターにインストールされたカスペルスキー製品が、高度な技術を持つサイバー犯罪グループ「Equation Group」のマルウェアの亜種とみられるものへの感染を検知しました。Equation Groupは高度な技術を持つサイバー犯罪グループであり、当社はその活動について2014年3月から積極的に調査を進めてきました。
  • この検知の後、ユーザーは海賊版ソフトウェアを自分のコンピューターにダウンロードしてインストールしたと見られます。具体的には、Microsoft OfficeのISOファイルと、Microsoft Office 2013の違法な有効化ツール(いわゆる「keygen」)です。
  • Office 2013の海賊版をインストールして実行するにあたり、ユーザーは自分のコンピューター上のカスペルスキー製品を無効化したと考えられます。当社製品が有効になった状態では、違法な有効化ツールを実行できないからです。
  • Office ISO内に含まれていた違法な有効化ツールは、マルウェアに感染していました。ユーザーは、カスペルスキー製品が無効化されていた不特定の期間、このマルウェアに感染していました。マルウェアは本格的なバックドアであり、ユーザーのコンピューターに対して第三者がアクセスできていた可能性があります。
  • カスペルスキー製品が再び有効化された後、当社製品はこのマルウェアを「Backdoor.Win32.Mokes.hvl」として検知し、既知の指令サーバーとの通信もブロックしました。この悪意あるセットアッププログラムを最初に検知したのは、2014年10月4日です。
  • さらに、カスペルスキー製品はEquationマルウェアの新たな亜種と既知の亜種も検知しました。
  • Equationマルウェアの新しい亜種として検知されたファイルの1つに、7zipアーカイブがあります。このファイルはユーザーの同意とKaspersky Security Network※1 のライセンス契約に従ってKaspersky Labへと送られ、さらなる解析が実施されました。
  • 解析の結果、このアーカイブからEquationグループの既知のツールと未知のツール、ソースコード、さらには機密文書などを含む複数のファイルを発見しました。解析を行ったリサーチャーは本件を当社の最高経営責任者(CEO)に報告しました。CEOの要請を受け、このアーカイブ自体、ソースコード、機密データと思われるものすべてが、数日のうちに当社の全システムから削除されました。ただし、悪意のあるバイナリファイルは、現在も当社のストレージに残っています。本アーカイブは、いかなる第三者にも共有されていません。
  • 当社がこれらのファイルを削除した理由、そして今後も同様のファイルを削除する理由は、2つあります。1つは、保護の強化のためにはマルウェアバイナリのみが必要であること。もう1つは、機密資料の可能性があるファイルの取り扱いについて懸念していることです。
  • 本件を受けて、全マルウェアリサーチャーを対象に新しいポリシーを定めました。リサーチャーは現在、機密資料と思わるファイルがマルウェアの解析中に意図せず収集されてしまった場合、それらをすべて削除するよう義務付けられています。
  • 本調査では、2015年、2016年、2017年においては同様のインシデントは確認されませんでした。
  • Duqu 2.0」を除き、Kaspersky Labのネットワークへの第三者の侵入は一切検知されていません。

追加調査の結果

本調査における中間報告での最大の発見の1つは、問題のコンピューターが「Mokes」バックドアに感染していたことでした。これは悪意ある者がコンピューターへのリモートアクセスに利用するマルウェアです。Kaspersky Labのリサーチャーは調査の一環として、このバックドアのほか、当該コンピューターから送信されたEquation以外の脅威関連テレメトリーをさらに詳しく調べました。

  • Mokesバックドアの興味深い背景

Mokesバックドア(別名「Smoke Bot」「Smoke Loader」)が、ロシアの闇フォーラムで2011年に販売が開始されたことは、広く知られています。Kaspersky Labの調査では、2014年9月から11月までの期間に、このマルウェアの指令サーバーは、中国のものと推定される組織「Zhou Lou」に登録されていたことが明らかになりました。また、当社のテレメトリーをさらに解析したところ、問題のコンピューターはインシデントの時点で、Mokesバックドア以外のマルウェアにも感染していた可能性があることが判明しています。その他の違法な有効化ツールやkeygenが同じマシンで発見されました。

  • Equation以外のマルウェアについてのさらなる情報

カスペルスキー製品は2か月の間に、当該ユーザーのコンピューター上でEquationマルウェア以外に121のアラートを報告しました。バックドア、エクスプロイト、トロイの木馬、アドウェアといったアラートと、限られた量のテレメトリーを合わせて考えると、当社製品がこれらの脅威を検知したことは間違いありませんが、製品が無効化されていた期間にマルウェアが実行されていたかどうかは判断できません。
Kaspersky Labはその他の悪意あるサンプルを引き続き調査し、解析の終了後ただちに新しい調査結果を公開する予定です。

結論:

本調査の全体的な結論は以下のとおりです。
Kaspersky Labのソフトウェアは仕様どおりに動作し、それまでの6か月に渡り調査を行っていたEquationマルウェアを検知する意図で作成されたシグネチャによるアラートを当社のアナリストに通知していました。これらすべては、ソフトウェアのインストール前にユーザーが同意した、製品説明、シナリオ、および法的文書の内容に従っています。

  • 機密扱いであった可能性が疑われる情報が取得されたのは、Equation検知用のマルウェアシグネチャが発動したアーカイブの内部に含まれていたためです。
  • アーカイブにはマルウェア以外にも、Equationマルウェアのソースコードと思われるものや、機密と記された4つのWord文書が含まれていましたが、ファイルは削除済みであり、数日のうちに削除したため、当社は文書の内容に関する情報を保有していません。
  • 当社は、これらのデータが(米国政府基準に従って)「適切に取り扱われた」かどうかを評価することはできません。当社のリサーチャーは米国の機密情報の取り扱う訓練を受けたことがないこと、またそのような法的義務のもとにないことからです。これらの情報はいかなる第三者とも共有されていません。
  • 当社のリサーチャーが「極秘」や「機密」といった語を含む文書を検索する目的でテスト用(サイレント)シグネチャを発行しようとしたと、複数のメディアが報じていましたが、そのような証拠は見つかりませんでした。
  • Mokesバックドアに感染していたことや、Equation以外のマルウェアに感染していた可能性があることから、コンピューターへのリモートアクセスによって、当該ユーザーデータが不特定多数の第三者に漏洩していた可能性があります。

Kaspersky Labは極めて透明性の高い企業として、先頃の報道に懸念を抱いている政府機関の関係者やお客様に対し、本調査の詳細情報を責任ある形で開示する用意があります。

本件の調査結果の全文はカスペルスキー公式ブログKaspersky Daily「2014年9月の米国におけるEquationマルウェア検知インシデントに関する調査レポート」をご覧ください。Mokesバックドアの技術解析はこちらでご覧いただけます。

■参考情報


※1 レポートの統計データは、Kaspersky Security Network(以下KSN)で取得されたものです。KSNは、Kaspersky Labのアンチマルウェア製品の各種コンポーネントから情報を収集するクラウドベースのアンチウイルスネットワークです。ネット上の新しい脅威を即時に検知し、感染源を数分でブロックすることでKSNに接続されたすべてのコンピューターを保護します。KSNには全世界で数千万の個人および法人ユーザーが参加しており、悪意のある活動に関する情報を世界規模で共有しています。すべての情報は、ユーザーの同意を得て収集されています。