「ドイツ政府製トロイの木馬」、製造元及び販売先判明(ScanDispatch) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.03.26(日)

「ドイツ政府製トロイの木馬」、製造元及び販売先判明(ScanDispatch)

国際 海外情報

digitask2011年10月9日に、ドイツの有名なコンピュータクラブであるカオス・コンピューター・クラブ(CCC)が、ドイツ政府により作成されたとするマルウエアを在野で発見したと発表し話題になっている。さっそく、ドイツとアメリカで活躍している専門家に取材した。

CCCは、1981年に創設された歴史の長い「ハッカー」クラブでメンバーの数も多く、カオス・コンピューター・コングレスというハッカーコンファレンスを毎年開催することでも有名だ。

今回発表されたマルウエアは、「連邦トロジャン(Bundestrojaner)」あるいはコードの中にあった「C3PO-r2d2-POE」というストリングから「R2D2」と呼ばれている。ドイツ政府によるマルウエアは数年前にも話題になっているが、CCCはバイナリ解析も行なっており、今回、その存在だけでなく機能も明らかになった。

CCCによると、このマルウエアは、Skypeでの会話の盗聴、キーロガー、ユーザーのオンライン行動のモニターが可能であり、また、リモートからプログラムをダウンロードしてインストールするトロイの木馬機能、マイクやカメラなどのハードウエアをオンにする機能を持っているそうだ。また、Sophos Security の Graham Cluley氏のブログによると、MSNメッセンジャー、Yahooメッセンジャーを盗聴、スクリーンショットのキャプチャなどもできるそうだ。どうやら立派なバックドアのようだ。

さて、このマルウエアにつき、論議されている点がいくつかある。

論点1:政府や司法・警察などによるこうしたマルウエアの使用は合法なのか?

2007年にドイツ政府は、マルウエアを犯罪捜査に利用すると発表している。ドイツでは犯罪捜査に盗聴を行うことは合法であるが、2008年、ドイツの連邦憲法裁判所(Bundesverfassungsgericht)は、電話でなくPCの盗聴について、「VoIPテレコミュニケーションを盗聴するのは合法であるが、その他については非合法」と、市民のコンピューターにマルウエアを使用することはVoIP盗聴以外は違憲と判断している。ということは、このマルウエアは非合法ということになる。

論点2:このマルウエア、本当にドイツ政府が制作してリリースしたのか?

ここは大きく意見が分かれている。CCCは、マルウエアがドイツ政府によって作成されたと明言している。しかし、ドイツの Hildesheim 市に本社を持つ DN-Systems Enterprise Internet Solutions 社の CTO である Lukas Grunwald 氏は「ドイツ政府が制作したのではない」と筆者のメールインタビューに答えた。Grunwald 氏は RFDump の製作者で、米国、ヨーロッパのセキュリティ事情に詳しい。彼は「このマルウエアの存在は3年前ほどに製作元の企業のリークによって存在を知って」おり「DigiTask社 (http://www.digitask.de/) が販売元だ」と語ってくれた。

この話には、WikiLeaksの裏付けがある。WikiLeaks は2008年1月24日、DigiTask 社が ドイツのバイエルン州に対して、マルウエアの価格、ライセンス形態、機能や技術の仔細を提示した書類及び、バイエルン州司法局と検察局との間で、このプログラムのコストとライセンスをどのように分担するかを相談していたことを示す書類を発表している。

実際に10月11日、ドイツの海外向け放送局の DW-World.de は、DigiTask 社のスポークスパーソンから「(CCCが発表したマルウエアは)我社が2007年にバイエルン州当局に販売したものである」という確認をとっている。DW-World.de はまた、バイエルン州、バーデン=ヴュルテンベルク州、ブランデンブルグ州、シュレースヴィッヒ・ホルシュタイン州、ニーダーザクセン州などのドイツ州警察が、マルウエアを使用して犯罪捜査を行なっていることを認めていると報道している。

CCCは「(マルウエアの)通信データは全て、検知を免れるために米国にあるデータセンターのサーバーを経由している」とプレスリリースで発表しているが、F-Secure 社のチーフ・リサーチ・オフィサーである Mikko Hypponen 氏によると、83.236.140.90 と 207.158.22.134 の IPアドレスを含むサーバーとコンタクトするそうで、83.236.140.90 はドイツのヘッセン州、207.158.22.134 は米国(あるいは匿名IP)だ。

一方、ドイツ連邦政府の広報担当者、Steffen Seibert 氏は Twitter で「BKA (Bundeskriminalamt、連邦刑事局)は CCC が発表したトロイの木馬を使用していない。(そのため) 『連邦トロジャン』ではない」 また、「首相はCCCのレポートを真剣に受け止めており、連邦、地方政府はその使用について迅速に確認を取る。BKAは否定している」との声明を出している。

論点3:CCCはどのようにこのマルウエアを手に入れたのだろうか?

マルウエアは、Patrick Schladt 氏というドイツの弁護士の顧客のコンピューターで見つかっているそうだ。Schladt 氏は、その顧客が、ミュンヘン空港の税関でラップトップを押収され、その際にインストールされたとしている。

連邦内務省は、CCC が発表したマルウエアについて、BKA は関連していないと明言しているが、BKA 以外の連邦政府の部局は関連しているのだろうか? もしSchladt 氏のクライアントの主張、税関でインストールされたということが本当だとすると、税関が関連していることになる。

論点4:このマルウエア、技術的にはどの程度の出来か?

Grunwald 氏は、このマルウエアの出来具合と技術水準に関して、「(サイバークライムで有名な)Russian Business Network などと比べると出来はお粗末だ。自己消滅するなど、もっとプロフェッショナルなものが沢山ある」と言っているが、その通りのようだ。

CCCの分析でも、「コマンドサーバーとマルウエア間の通信の認証はいい加減なもので、第三者がこのマルウエアを乗っ取る事ができるだけでなく、ある程度のスキルがあれば逆にコマンド・サーバーに偽のデータをアップロードしたり、捜査当局のネットワークを逆攻撃するチャンネルに使用できる」と言っており、いろんな意味でトホホなプログラムであることは確かだ。

※この記事は全文を掲載しました

(米国 笠原利香)

Chaos Computer Club analyzes government malware(CCC)
http://www.ccc.de/en/updates/2011/staatstrojaner

German 'Government' R2D2 Trojan FAQ(Sophos)
http://nakedsecurity.sophos.com/2011/10/10/german-government-r2d2-trojan-faq/

Data Protection in Germany II: Recent decisions on onlinesearching of computers, automatic number plate recognition and data retention(Computer Law & Security Review)
http://www.jura.uni-passau.de/fileadmin/dateien/fakultaeten/jura/lehrstuehle/hornung/Hornung___Schnabel__Data_protection_in_Germany_II__CLSR_2009__115.pdf

German company behind government spyware admits sale to Bavaria(DW-World.de)
http://www.dw-world.de/dw/article/0,,15453150,00.html

Several German states admit to use of controversial spy software(DW-World.de)
http://www.dw-world.de/dw/article/0,,15449054,00.html

ドイツ連邦政府広報 Steffen Seibert 氏 Twitter
https://twitter.com/#!/RegSprecher

Skype and SSL Interception letters - Bavaria - Digitask(WikiLeaks)
http://wikileaks.org/wiki/Skype_and_SSL_Interception_letters_-_Bavaria_-_Digitask

政府によるものとおぼしきバックドアを発見(「R2D2ケース」)(エフセキュアブログ)
http://blog.f-secure.jp/archives/50632062.html
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

    勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

  2. Google、イギリス国民保健サービスからのアクセスをボットのサイバー攻撃と勘違いし通信遮断(The Register)

    Google、イギリス国民保健サービスからのアクセスをボットのサイバー攻撃と勘違いし通信遮断(The Register)

  3. 中国の検閲システム「グレートファイアウォール」が未認可のVPNの規制強化(The Register)

    中国の検閲システム「グレートファイアウォール」が未認可のVPNの規制強化(The Register)

  4. トランプの非アメリカ人のプライバシー権否定の大統領令、大手ネット企業の海外取引への影響(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  7. トランプ氏の大統領令で混乱生じるさなか、EU・米国間のデータ保護法発効(The Register)

  8. 沈みゆく船から撤退せよ、史上初SHA-1ハッシュ衝突の成功と今後の排除の流れ(The Register)

  9. 書評「Dark Territory」(3) USCYBERCOM 設立前後 (90年代後半~2000年代初頭)

  10. 米海兵隊、サイバー戦争に向け兵士 3,000 名増員(The Register)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×