Kaspersky Lab、NSAの機密情報流出に関する調査結果を発表 29
ストーリー by headless
調査 部門より
調査 部門より
Kaspersky Labは16日、同社の製品が原因で米国家安全保障局(NSA)の機密情報がロシア側へ渡ったと10月に報じられた件について、調査結果を発表した(Securelistの記事、
Ars Technicaの記事、
V3の記事)。
Kaspersky Labでは10月下旬、機密情報流出の原因となったNSA契約スタッフとされる人物の自宅PCが多数のマルウェアに感染していたことや、NSAのマルウェアが検出されたためにサンプルとして同社へ送られた7-ZipアーカイブにNSAの機密情報ファイルやソースコードも格納されていたことなどを含む調査結果を事前発表していた(過去記事)。今回の発表はさらに踏み込んだ内容となっている。
Kaspersky Labでは10月下旬、機密情報流出の原因となったNSA契約スタッフとされる人物の自宅PCが多数のマルウェアに感染していたことや、NSAのマルウェアが検出されたためにサンプルとして同社へ送られた7-ZipアーカイブにNSAの機密情報ファイルやソースコードも格納されていたことなどを含む調査結果を事前発表していた(過去記事)。今回の発表はさらに踏み込んだ内容となっている。
カスペルスキー製品が意図的に機密情報を収集していたとの疑惑に対しては、マルウェアのシグニチャにのみ基づいてサンプルの収集を行っていると否定。同社アナリストが作成したマルウェアのシグニチャは社内の別のグループによるチェックが行われるうえ、サードパーティへの提供も行われるため、マルウェアを含まない機密情報を見つけ出すようなシグニチャを紛れ込ませることも困難だと主張する。
また、サンプルとして送られてきたファイルにNSAの機密情報やソースコードが含まれていたという報告を受け、CEOのユージン・カスペルスキー氏は即刻削除するよう指示しており、社内システムには検出の形跡を示すメタデータ程度しか残されていないという。ただし、同社のアナリストは米政府機関の機密情報を扱うトレーニングを受けていないため、同社での機密情報取り扱いが米政府の基準に適合しているかどうかは判断できないとのこと。また、送信経路で盗まれた可能性については、適切な暗号化が行われていることから排除できると述べている。
この人物はOffice 2013の不正アクティベーションツールを実行するためにカスペルスキー製品を無効化したとみられ、この間に機密情報が盗まれた可能性が高いという。この不正アクティベーションツールはMokes/SmokeBotと呼ばれるバックドアが搭載されている。カスペルスキー製品はこのバックドアを検出してブロックするため、ツールを実行するには無効化する必要がある。
なお、問題の不正アクティベーションツールは2011年にロシアのハッカーが開発したと考えられているが、機密情報流出が発生したとみられる期間には中国のグループがC&Cサーバーのドメインを登録していたとのこと。この人物は高いレベルの機密情報アクセスが認められていたことから、スパイの重要なターゲットになっていた可能性も高い。そのため、当時のカスペルスキー製品では検出できなかったマルウェアにより機密情報が盗まれた可能性もあるとのことだ。
つまるのところ (スコア:0)
バイナリの含まれる7zipファイルは、マルウェア疑いのexeファイルだけでなく、全体がカスペルスキーに送られるってことだよね。
ということはbackup20171119.7zとか作ったら、誤検出で全部カスペルスキー行きになる可能性があるわけか。
Re: (スコア:0, オフトピック)
何かの話と似てるなと思ったら、これだった
・過去のiOSで、勝手に利用者の位置情報を取得、iTunes上に平文で保存、だれでも見れる状態で勝手に蓄積していた
これに対しての当時のAppleの対応は
・単なるバグだ、直した、iPhoneが取得したデータは悪用など一切せず消したから問題ない、以上問題は解決だ
だった
実際にどのくらいの被害が出たのか?本当にバグだったのか?本当に悪用せず消したのか?など無視してとにかく強制的に問題終了にする
あれからジョブズも死んで時代も変わった今、同じことをロシアのカスペルスキーがやってきた(遠い目
Re: (スコア:0)
バグだともなんともいってないし全然違う話でしょ?
NSAの情報を盗んだっていってるけどアーカイブに不正なソフトウェアのシグネクチャが含まれてたから
送信する設定になってたから送ってこられただけだっていう話でバグなんてカスペルキー言ってないと思うんですが。
Re: (スコア:0)
> バグだともなんともいってないし全然違う話でしょ?
「バグではなく仕様です」がお笑い話でしかないこともご存じないの?
日本語も明らかにおかしいし、スラド初心者の外国人工作員の方ですかね?
なんであなたのような人がスラドで必死に工作してるんでしょうか?
このコメはApple工作員の手によって自動的にマイナスモデされる
Re: (スコア:0)
えーっと、だからウィルス対策ソフトとしてそういう設定をしていた場合にそう動作することは「正常」であったいう話で
Appleがバグだと言い張っている話とは全然違うよって言ってるのに貴方は何を言っているんですか?
「バグではなく仕様」だなんてカスペルキーは言ってなくって「いや、正常動作だけど消すように指示はしたよ」っていってるだけ
日本語も明らかにおかしいしっていう事を言い出してしまうと
「お笑い話」ではなくって「お笑い種」だとか外国人が混乱する日本語の独特の表現を用いる事が出来ない方がみたいな話もありますが。
しかも、無駄な改行が多いですし貴方の方がち
Re: (スコア:0)
必死にぎこちない長文で個人攻撃してなくていいよ
そういうのってスラドにおける一番ウザイ行為だからさ、Apple工作員さん
Re: (スコア:0)
えーっと、語順が違います
正しい日本語がお望みであればあなたの書き込みは以下になります。
ぎこちない長文で必死に個人攻撃しなくていいよ
それは私にとって一番ウザイ行為だからね?Apple工作員さん
何故そうなるかと言うと必死は行為に着くものですので必死なぎこちない長文はおかしい物となります。
どうしても頭につけたければ「必死に書いたぎこちない長文」になるので
「ぎこちない長文」を必死としたいのか「個人攻撃」を必死としたいのかで変わります。
あなたの文を読む限り必死は個人攻撃につけたいのかと思います。
また、これそのまま鏡ですよね?貴方も私のことを必死にApple工作員だとレッテル張っているって自覚しましょうね。
目的、目標は行為を正当化はしません。
次に2行目。
ウザイ行為云々はそのまま貴方自身の主観でありスラドの利用規約でもローカルルールでもありません。
よってスラドにおけるは正しくなく貴方にとってとなります。
日本語云々というのであればもう少し最低限度には気をつけましょう
Re: (スコア:0)
Apple工作員の日本語能力の無さは底なしか
Re: (スコア:0)
日本語苦手なんですか?
同じ助詞が複数出てくるのっておかしいんですが・・・。
Apple工作員の日本語能力は底なしに低レベルか
みたいな文にしかないと同じ助詞が複数回一文で出てくるのは
子供のしゃべり方ですよ
Re: (スコア:0)
そうやって相手になるから「こいつは構ってくれる」と学習しちゃっていつまでも噛みついてくるんですよ。
Re: (スコア:0)
カスペルスキーだけなのか他もそうなのかわからないので判断保留
米国政府はどういう対応を取るのかね (スコア:0)
政府調達からのKaspersky排除を撤回すれば立派だけど、そうはしないんだろうな。
Re:米国政府はどういう対応を取るのかね (スコア:2)
職員の自宅PC用Officeライセンスを支給するようになったりして。
Re: (スコア:0)
誤解が解けても現状のままじゃ回復不可じゃないですか?
圧縮ファイル内に検出ファイルと一緒に存在してたとは言え
マルウェアの疑いのあるファイル以外も社員が目を通してそのファイルが何であるかを確認していて
社長の指示があるまで削除されない
事がカスペルスキー側から説明された訳ですよね
Re: (スコア:0)
他のウイルスベンダーは違うの?
Re: (スコア:0)
同じかもしれないし、違うかもしれない
「かもしれない」が即ち安全であるとは言えませんが
それでも「悪い方に明確にされている」のとは見る目や対処が変わって当然ではないでしょうか
あんまし意味がない発表だな (スコア:0)
結局情報が漏れたのはカスペルスキーに届いた7zipファイルからなのか、そうではないのかが明確になっていない
「ウチがやるのは困難であるから犯人はウチではない」と言われても困難だからこそそこでやる(バレづらい)のも常套手段だし
(困難なんだ、というのもカスペルスキーの自称でしかありませんが)
Re:あんまし意味がない発表だな (スコア:1)
別のウィルスが入っていた(のでそっちから漏れたんじゃね)
括弧内が暗に主張したいことだろう
Re: (スコア:0)
それを明確にするのは米国政府の責任では?
情報を漏えいした米国政府職員のPCに自社のAVソフトウェアがインストールされていた、
というだけの関係に過ぎない一民間会社にできることなんて限られているでしょう。
証拠もなしに犯人扱いして、「自分が潔癖でない証拠を出せないからお前が悪い」と?
Re: (スコア:0)
それはもう通らない
たとえば社長が「削除しろ」と社員に通告し削除させた、これの時点で社長は今回の仕組みでカスペルスキーに流れた情報が根源である可能性を理解している
本来なら「削除する必要もない、管理は完璧だからだ」でツッパねるのが正しかったが、そうはできなかったんだからね
もちろんこういう行為は裁判などでも考慮される
Re: (スコア:0)
いや送る方が馬鹿なんだって。
馬鹿に道具の使わせ方を教えずに仕事出せるからこうなる
Re: (スコア:0)
> いや送る方が馬鹿なんだって。
送ったのは「カスペルスキー」のウイルススキャンアプリなんだけどな
Re: (スコア:0)
送るように設定していたのは、NSAの職員なんだけどな。
Re: (スコア:0)
> 送るように設定していたのは、NSAの職員なんだけどな。
カスペルスキーはしばらく使ってないから最新のデフォ設定を知らんけど、デフォで送信する設定でしょどうせ
利用者が明示的にオンにしたわけではないんじゃないかね
まぁこの辺は実際最新のカスペルスキーを使ってる人の確定情報を待つ
そのうえで、アーカイブファイルを検査してその中身でウイルス/マルウェアに感染したファイルを検出したなら
その「中身のファイル」だけ送ると考えるのが当然
アーカイブファイル全体を送っていたというなら、それを明示していないことはすでに問題
Re: (スコア:0)
「それはもう通らない」って、それはあなたの意見だろう。
そして、その意見は通らない。
Kasperskyに送られたかもしれないNSAの機密ファイルというマルウェアがユージーンの指示で削除されたとしても、それは要らぬ誤解を回避するためだった(判断は間違っていたと思う)だけで、漏れたことを認めたわけではない。
それにそのNSA嘱託職員のPCは多数のマルウェアに感染していたから、Kasperskyを通して漏れた可能性よりも感染したマルウェアによって漏えいした可能性のほうがはるかに高いからね。
これはKaeprskyのせいにした人のほうが証明すべきだろう。
Re: (スコア:0)
> Kasperskyに送られたかもしれないNSAの機密ファイルというマルウェアがユージーンの指示で削除されたとしても、
> それは要らぬ誤解を回避するためだった(判断は間違っていたと思う)だけで、漏れたことを認めたわけではない。
司法ではそれを「証拠隠滅」と疑って考慮します
もしそういう当たり前の司法のシステムすら成立していない悲惨な国家の方であれば、祖国に御帰りください
Re: (スコア:0)
Officeの不正アクティベーションツールを使うためにKasperskyはOFFにしていて、その影響で多数のマルウェアに感染していたんだからKasperskyではないでしょ。
Kasperskyにサンプルが送られてきたのかどうかも、すぐにそういうファイルは削除するように命じて消させたから、消させた中に機密情報(NSA製マルウェアのサンプル)が含まれてきたのかも今となっては定かではないと。
Re: (スコア:0)
・カスペルスキーではないことにするための都合のいい想像を話に入れてきている
・カスペルスキーの行為が証拠隠滅の可能性を無視してとにかくカスペルスキーは潔白だという話にしようとしてきている
さすがカスペルスキーすごいすごい
Re: (スコア:0)
Kasperskyから漏れたのかKasperskyが主張するようにマルウェアから漏れたのかを不明としても、
機密情報を勝手に持ち帰った上でKasperskyに検出させ検体の提出までするような職員が悪いとしか言えん事例なのは明らかだろ。
Kasperskyから漏れてても、根本的なところでメールで児ポ送りつけて検挙しに行くのと大差ない。