2016.08.30(火)

「ドイツ政府製トロイの木馬」、製造元及び販売先判明(ScanDispatch)

国際 海外情報

digitask2011年10月9日に、ドイツの有名なコンピュータクラブであるカオス・コンピューター・クラブ(CCC)が、ドイツ政府により作成されたとするマルウエアを在野で発見したと発表し話題になっている。さっそく、ドイツとアメリカで活躍している専門家に取材した。

CCCは、1981年に創設された歴史の長い「ハッカー」クラブでメンバーの数も多く、カオス・コンピューター・コングレスというハッカーコンファレンスを毎年開催することでも有名だ。

今回発表されたマルウエアは、「連邦トロジャン(Bundestrojaner)」あるいはコードの中にあった「C3PO-r2d2-POE」というストリングから「R2D2」と呼ばれている。ドイツ政府によるマルウエアは数年前にも話題になっているが、CCCはバイナリ解析も行なっており、今回、その存在だけでなく機能も明らかになった。

CCCによると、このマルウエアは、Skypeでの会話の盗聴、キーロガー、ユーザーのオンライン行動のモニターが可能であり、また、リモートからプログラムをダウンロードしてインストールするトロイの木馬機能、マイクやカメラなどのハードウエアをオンにする機能を持っているそうだ。また、Sophos Security の Graham Cluley氏のブログによると、MSNメッセンジャー、Yahooメッセンジャーを盗聴、スクリーンショットのキャプチャなどもできるそうだ。どうやら立派なバックドアのようだ。

さて、このマルウエアにつき、論議されている点がいくつかある。

論点1:政府や司法・警察などによるこうしたマルウエアの使用は合法なのか?

2007年にドイツ政府は、マルウエアを犯罪捜査に利用すると発表している。ドイツでは犯罪捜査に盗聴を行うことは合法であるが、2008年、ドイツの連邦憲法裁判所(Bundesverfassungsgericht)は、電話でなくPCの盗聴について、「VoIPテレコミュニケーションを盗聴するのは合法であるが、その他については非合法」と、市民のコンピューターにマルウエアを使用することはVoIP盗聴以外は違憲と判断している。ということは、このマルウエアは非合法ということになる。

論点2:このマルウエア、本当にドイツ政府が制作してリリースしたのか?

ここは大きく意見が分かれている。CCCは、マルウエアがドイツ政府によって作成されたと明言している。しかし、ドイツの Hildesheim 市に本社を持つ DN-Systems Enterprise Internet Solutions 社の CTO である Lukas Grunwald 氏は「ドイツ政府が制作したのではない」と筆者のメールインタビューに答えた。Grunwald 氏は RFDump の製作者で、米国、ヨーロッパのセキュリティ事情に詳しい。彼は「このマルウエアの存在は3年前ほどに製作元の企業のリークによって存在を知って」おり「DigiTask社 (http://www.digitask.de/) が販売元だ」と語ってくれた。

この話には、WikiLeaksの裏付けがある。WikiLeaks は2008年1月24日、DigiTask 社が ドイツのバイエルン州に対して、マルウエアの価格、ライセンス形態、機能や技術の仔細を提示した書類及び、バイエルン州司法局と検察局との間で、このプログラムのコストとライセンスをどのように分担するかを相談していたことを示す書類を発表している。

実際に10月11日、ドイツの海外向け放送局の DW-World.de は、DigiTask 社のスポークスパーソンから「(CCCが発表したマルウエアは)我社が2007年にバイエルン州当局に販売したものである」という確認をとっている。DW-World.de はまた、バイエルン州、バーデン=ヴュルテンベルク州、ブランデンブルグ州、シュレースヴィッヒ・ホルシュタイン州、ニーダーザクセン州などのドイツ州警察が、マルウエアを使用して犯罪捜査を行なっていることを認めていると報道している。

CCCは「(マルウエアの)通信データは全て、検知を免れるために米国にあるデータセンターのサーバーを経由している」とプレスリリースで発表しているが、F-Secure 社のチーフ・リサーチ・オフィサーである Mikko Hypponen 氏によると、83.236.140.90 と 207.158.22.134 の IPアドレスを含むサーバーとコンタクトするそうで、83.236.140.90 はドイツのヘッセン州、207.158.22.134 は米国(あるいは匿名IP)だ。

一方、ドイツ連邦政府の広報担当者、Steffen Seibert 氏は Twitter で「BKA (Bundeskriminalamt、連邦刑事局)は CCC が発表したトロイの木馬を使用していない。(そのため) 『連邦トロジャン』ではない」 また、「首相はCCCのレポートを真剣に受け止めており、連邦、地方政府はその使用について迅速に確認を取る。BKAは否定している」との声明を出している。

論点3:CCCはどのようにこのマルウエアを手に入れたのだろうか?

マルウエアは、Patrick Schladt 氏というドイツの弁護士の顧客のコンピューターで見つかっているそうだ。Schladt 氏は、その顧客が、ミュンヘン空港の税関でラップトップを押収され、その際にインストールされたとしている。

連邦内務省は、CCC が発表したマルウエアについて、BKA は関連していないと明言しているが、BKA 以外の連邦政府の部局は関連しているのだろうか? もしSchladt 氏のクライアントの主張、税関でインストールされたということが本当だとすると、税関が関連していることになる。

論点4:このマルウエア、技術的にはどの程度の出来か?

Grunwald 氏は、このマルウエアの出来具合と技術水準に関して、「(サイバークライムで有名な)Russian Business Network などと比べると出来はお粗末だ。自己消滅するなど、もっとプロフェッショナルなものが沢山ある」と言っているが、その通りのようだ。

CCCの分析でも、「コマンドサーバーとマルウエア間の通信の認証はいい加減なもので、第三者がこのマルウエアを乗っ取る事ができるだけでなく、ある程度のスキルがあれば逆にコマンド・サーバーに偽のデータをアップロードしたり、捜査当局のネットワークを逆攻撃するチャンネルに使用できる」と言っており、いろんな意味でトホホなプログラムであることは確かだ。

※この記事は全文を掲載しました

(米国 笠原利香)

Chaos Computer Club analyzes government malware(CCC)
http://www.ccc.de/en/updates/2011/staatstrojaner

German 'Government' R2D2 Trojan FAQ(Sophos)
http://nakedsecurity.sophos.com/2011/10/10/german-government-r2d2-trojan-faq/

Data Protection in Germany II: Recent decisions on onlinesearching of computers, automatic number plate recognition and data retention(Computer Law & Security Review)
http://www.jura.uni-passau.de/fileadmin/dateien/fakultaeten/jura/lehrstuehle/hornung/Hornung___Schnabel__Data_protection_in_Germany_II__CLSR_2009__115.pdf

German company behind government spyware admits sale to Bavaria(DW-World.de)
http://www.dw-world.de/dw/article/0,,15453150,00.html

Several German states admit to use of controversial spy software(DW-World.de)
http://www.dw-world.de/dw/article/0,,15449054,00.html

ドイツ連邦政府広報 Steffen Seibert 氏 Twitter
https://twitter.com/#!/RegSprecher

Skype and SSL Interception letters - Bavaria - Digitask(WikiLeaks)
http://wikileaks.org/wiki/Skype_and_SSL_Interception_letters_-_Bavaria_-_Digitask

政府によるものとおぼしきバックドアを発見(「R2D2ケース」)(エフセキュアブログ)
http://blog.f-secure.jp/archives/50632062.html
《ScanNetSecurity》

編集部おすすめの記事

特集

国際 アクセスランキング

  1. Citibank の情シス担当者がコアルータを消去し 110 拠点に影響、21ヶ月の禁固刑 ~ 上司の叱責が発端(The Register)

    Citibank の情シス担当者がコアルータを消去し 110 拠点に影響、21ヶ月の禁固刑 ~ 上司の叱責が発端(The Register)

  2. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

    「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  3. [特別連載] スティーブン・ポール・ジョブズの人生と時代 第1部 第1回

    [特別連載] スティーブン・ポール・ジョブズの人生と時代 第1部 第1回

  4. Mac OS X のシングルユーザモードの root アクセス(2)

  5. 「スグル ヤマグチ フェローシップ プログラム」~セキュリティの国際非営利活動に日本人研究者の名が冠される(FIRST)

  6. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  7. ここが変だよ日本のセキュリティ 第23回「セキュリティ対策の弱点探しキーワード 後篇」

  8. 欧州連合(EU)がサイバー セキュリティに1.8億ユーロ投資する ~ 英国はこの投資を欲しがる?貰える?おそらく…(2)(The Register)

  9. カスペルスキーCEO、iOS向けアンチウイルス開発ができないことに失望~将来のシェア低下をも懸念(The Register)

  10. Wi-Fiハッキングで三菱アウトランダーの盗難警報器が無効に ~ 善意のハッカーによる(The Register)

  11. ユーザーを売るために、Webサイトはいかにしてブラウザを利用するか~商品にされるのを避ける方法を(不本意ながら)お教えしよう(1) (The Register)

  12. Nimda.E変種ワームが、異なるファイル名を伴って攻撃開始

  13. 100 人のセレブ女性がオンラインでヌードを晒される~Apple の iCloud アカウントハッキングの犠牲となったセレブリティたち(The Register)

  14. ここから先は BREACH に任せろ:暗号化された HTTPS のウェブサイトは、 30 秒でクラックされる~オンラインバンキングが、ウェブメールが、ネットショッピングが、新しい「暗号への攻撃」に飲み込まれる(The Register)

  15. ペンテスターが「ハッキングを高コストにするための黄金のルール」を概説~シスアド諸君には悪いが、セキュリティのためにルートアクセスは取り上げたよ(The Register)

  16. 日本政府が富士通に索敵殲滅型サイバー兵器の製作を依頼(The Register)

  17. 【続報】Anonymous Japan のDDoS攻撃ツール(Far East Research)

  18. SCAN DISPATCH : 自動車のキーレスエントリーシステムの暗号破られる、1時間で盗難可能

  19. Anonymous が使用する DoS 攻撃ツール HOIC と Boosterファイルの使い方(Far East Research)

  20. 米国ミズーリ州オファロンで「Pokemon GO」ユーザーを狙う強盗事件が発生、「ビーコン」を使って被害者を誘い出す

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×