~いずれにせよ、お粗末なコードを書いたことを誰が認めるだろう?
By John Leyden
Posted in Security, 10th October 2011 11:29 GMT
ドイツのハッカーたちが、犯罪者やテロ容疑者たちによるSkypeの会話やIMチャットを盗聴するため、警察が利用している可能性があるという、サイバー探偵型のトロイの木馬を捕らえ、分析を行っている。
ドイツの盗聴法では実際、「Bundestrojaner」(「連邦政府によるトロイの木馬」)の使用が許可されており、ここ2、3年、警察がVoIPの会話を記録するのに用いている。
しかし、いわゆるR2D2(別名0zapftis)トロイの木馬は(ドイツ政府が作成したものであると確認されてはいない)、インターネットからアップデートをダウンロードしたり、キーストロークを記録したり、IMチャットを盗聴したり、スクリーンショットを撮ったりと、はるかに多くの機能を有している。そのバックドア機能は、ドイツの法律で許可されていることを上回る。
ソフォスはこの件について以下のように述べている:
このトロイの木馬がドイツ政府により書かれたかどうか、我々には知るよしもない。そしてこれまでのところ、ドイツ当局は関与を認めてはいない。
同トロイの木馬のバイナリコードのコメントは、それが悪名高きBundestrojanerと誤認されるのを望む、何者かによって仕掛けられたという可能性もある。
R2D2トロイの木馬は、Chaos Computer Club(CCC)が発見し、この週末、公表したもので、プライバシーに敏感なドイツで大騒ぎを引き起こした。
CCCのスポークス・ハッカーは以下のように述べている:
これは、単なるインターネット電話の盗聴と本格的なトロイの木馬とを効果的に分けて考えることは、実際問題として可能である、あるいは望ましいとさえ言えるかもしれない、という主張を論破している。我々の分析は、注意深く見張っていなければ、法執行機関が権限を逸脱するということを、またしても明らかにしたのだ。
同グループのハッカーたちは、このソフトウェアに組み込まれた機能の分析を行う前に、マルウェアコードのサンプルのリバースエンジニアリングを行った。同トロイの木馬に感染したマシンは、サードパーティーのハッカーにより、容易に悪用される可能性がある。
送信されるスクリーンショットやオーディオ・ファイルは、お粗末な方法で暗号化されており、コントロール・ソフトウェアからトロイの木馬へのコマンドは、全く暗号化されていない。トロイの木馬へのコマンドも、そのリプライも認証されないか、もしくはインテグリティを保護しない。未許可のサードパーティーが感染したシステムのコントロールを手に入れることができるばかりでなく、スキル・レベルが二流の攻撃者でも、当局に接続し、トロイの木馬の特定の例であると主張し、偽のデータをアップロードすることができる。
CCCによる英語での声明はここで見る事ができる。ドイツ首相の報道官は、R2D2トロイの木馬がドイツ連邦刑事局BKAにより使用されていることを否定した。この否定は推測を抑えることができていない。
一般的な説の一つとして、同トロイの木馬はバイエルン州のためにDigitaskが作成したものかもしれないというものがある。このような推測は興味深いが、WikiLeaksにより公開された文書で、Digitaskが少なくとも、この種のソフトウェアの作成を提案したことが示唆されているのを別とすれば、いかなる証拠にも基づいていない。
セキュリティ企業は、入手可能な証拠から、何者が同コードを作成したかを突き止めるのは不可能だと言う。
ネットセキュリティ企業エフセキュアは以下のように書いている:
「CCCの調査結果を疑う理由は無いが、我々はこのトロイの木馬がドイツ政府により書かれたと言う事はできない… 我々の知る限り、このことを明らかにできるのは、ドイツ政府自身以外にはない。
エフセキュアやソフォスを含むアンチウイルス企業は既に、同マルウェアに対する検出を解説と共に(それぞれこちらとこちら)加えている。他のセキュリティ企業も後に続くものと思われる。これらの企業は、誰がそれを作成したかに関係無く、遭遇したあらゆるマルウェアの検出を追加する必要があるからだ。
Bootnote
R2D2という名称は、この謎めいたトロイの木馬で見つかったASCIIのストリング「C3PO-r2d2-POE」に由来する。0zapftisという名称も同様で、毎年オクトーバーフェストの開催時に、ミュンヘン市長が使用する「樽は開いている」という意味のフレーズから来ている。
セキュリティ企業は、同トロイの木馬が貧弱なものだというCCCの意見に同意している。エフセキュアのミッコ・ヒッポネンは楽しげにツイートしている:
それはあまり上手く書かれていない。そんなわけで、政府により開発された可能性は「かなり」ありそうだ…(原文)
© The Register.
(翻訳:中野恵美子)
略歴:翻訳者・ライター