シャドー・ブローカーズ

シャドー・ブローカーズ (The Shadow Brokers、略称TSB) は、2016年夏に初めて確認されたハッカー集団。アメリカ国家安全保障局(NSA)との関連が指摘されているハッカー集団イクエーション・グループから情報やハッキングツールを盗み出したことで知られる。これらの脆弱性は、ファイアウォール、アンチウイルスソフトウェア、およびマイクロソフト社の製品を標的としていた。どこの国に属する組織なのかは未だ不明である。

概要

NSAはアメリカのサイバー作戦の一翼を担っており、他国に対してハッキングや妨害・破壊行為などサイバー攻撃を仕掛けるためのテクノロジーの開発を行っていた。イクエーション・グループはNSAのエリートハッカー集団Tailored Access Operations(TAO)がその正体とされ、世界42カ国に監視などのためにハッキングで潜入していた事が判明している。だが2015年にロシアのセキュリティ企業カスペルスキーに突き止められるまで14年間、その存在を隠し続けた謎の組織だった。

サイバー兵器（ハッキングツール）には未知のゼロデイ脆弱性が必要不可欠のため、世界的に高額で取引されている。NSAも年間2500万ドル以上の予算を分配していたこともある。マイクロソフトやグーグルは新たな脆弱性の発見に報奨金を支払っているが、NSAなど各国の情報機関はあえて報告せず、自分たちが侵入したり敵対国への攻撃に利用している。修正パッチが当てられてしまうともう攻撃には使用できなくなるため、NSAは脆弱性の存在を秘密にし続けていた。

グループ名の由来

いくつかのニュースサイトが、「シャドー・ブローカーズ」というグループ名が、Mass Effect シリーズに登場する「シャドー・ブローカー」に由来している可能性があると指摘している。それによると、Shadow Brokerは情報を取引する巨大組織のトップであり、最高入札者に情報を販売するキャラクターだという。

歴史

2013年

イクエージョン・グループが一連のサイバー兵器を製作。

2016年

8月13日、世界最高レベルのセキュリティと言われるNSAから盗み出した情報とツールを売り出すと宣言。TSBはイクエーション・グループが脆弱性について警告せず放置したことを非難。その上でNSAに、盗まれたデータなどを買い戻せば、さらなる流出は防げるとした。「高齢者たちの退職金を盗むことに興味はない。これは常にシャドー・ブローカーズとイクエージョン・グループの闘いだ」と宣言している。

2017年

3月14日、マイクロソフトがWindowsのServer Message Blockに存在する脆弱性の修正プログラム「MS17-010」を配布した。Microsoftがエクスプロイトのリリースについて情報を漏らした可能性があるという推測もある。

4月14日、入札者が現れなかったため「トランプ大統領に対する抗議」だと言い、ロシアのファイル共有サイトで300MBの情報を公開した。

5月12日、北朝鮮に属するハッカー集団ラザルスグループがこのハッキング技術を悪用した自己増殖するワームの特性を持ったランサムウェアWannaCry（別名ワナクリプター）を開発。世界の99カ国と地域の10万台以上のコンピュータが感染した。

同日夜、イギリスのセキュリティ企業MalwareTechのマーカス・ハッチンスがランサムウェアの機能を止める「キルスイッチ」を発見し拡散を一時的に止める。しかし、すぐにパッチを当てた他の亜種やキルスイッチのないバージョンも現れた。

5月14日、マイクロソフトのブラッド・スミスCEOはハッキングツールが漏洩した件で「政府がしばしば機密保持できないソフトウエアの欠陥情報を米国政府がため込んでいる」「米軍が保有するトマホークミサイルが盗まれたのと同じようなもの」と厳しく批判した。

5月15日、ボサート大統領補佐官は「米国は、恐らく他のどの国よりも、認識された欠陥情報をどう扱うかという手続きについて、極めて慎重だ」と延べた。

5月16日、TSBが国際的な銀行ネットワークから漏洩した情報や、ロシア、中国、イラン、北朝鮮の核ミサイル開発に関する機密情報も公開すると予告した。

5月16日、150カ国と地域に被害が広がる。脆弱性を公表せず逆に利用しようとしていたNSAに批判の声があがるが、専門家はNSAよりも、システムの修正を行わないユーザーや、流出させたシャドー・ブローカーズの方が直接的な責任があるとの見方を示した。

5月19日、カスペルスキーは身代金の支払額はわずか合計8万3500ドル余りだったと報告。CEOは「攻撃者が期待したほど成功しなかったということだ」と分析した。しかし攻撃ツールがすべて公開された場合「大惨事になる」とも述べた。

5月30日、TSBは各国政府などから盗んだハッキング技術を7月に約2万2千ドル（約240万円）で販売する告知した。

6月27日、既に存在していたマルウェアPetyaの新しい亜種「NotPetya」をロシアのサンドワームが製作し、2017年ウクライナへのサイバー攻撃を行った。これは流出したエターナルブルーが悪用されており、自己増殖能力するこのマルウェアよって世界中で100億ドル（約1兆円）という過去最高の被害額を出した。

2018年

4月中旬、一時落ち着いたエターナルブルーが、新種のランサムウェア「サタン」(Satan)の登場でピークを記録する。

リークした情報

最初のリーク

「EquationGroup Cyber WeaponsAuction-Invitation」

正確な日付は不明だが、リークの準備は少なくとも8月の初めには開始され、最初の公開は2016年8月13日にTwitterアカウント@shadowbrokerssで「イクエーション・グループサイバー兵器オークションのご案内」が投稿された。

2番目のリーク

「Message #5-TrickOrTreat」

2016年10月31日に公開された資料には、イクエーション・グループによってハッキングされたと思われるサーバーのリストと、使用された非公開の7つのツール（DEWDROP、INCISION、JACKLADDER、ORANGUTAN、PATCHICILLIN、RETICULUM、SIDETRACK、STOICSURGEON）が記載されていた。

3番目のリーク

「Message #6-BLACK FRIDAY / CYBER MONDAY SALE」

このリークには、イクエーション・グループが使用しているとされるツールの解説書のような名称のフォルダーが60個が含まれていた。これには実行ファイルは含まれておらず、ツールのファイル構造のスクリーンショットが含まれている。

4番目のリーク

「Don't Forget Your Base」

2017年4月8日、これはTSBが使用するMediumアカウントに投稿された。この投稿により、昨年リリースされた暗号化ファイルのパスワードが判明した。これらのファイルは、NSAのさらなるハッキングツールを明らかにするとしている。

復号されたファイル eqgrp-auction-file.tar.xz には、主にLinux / UNIXベースのシステムをハッキングするためのツールが含まれていた。

5番目のリーク

「LostinTranslation」

2017年4月14日、Twitterアカウントは、Steemブロックチェーンへのリンクを含むツイートを投稿した。

全体的なコンテンツは、「oddjob」「swift」「windows」の3つのフォルダで構成され、このリークをTSBは「…これまでで最も有害なリリース」であると示唆している。CNNはマシュー・ヒッキーの「これはおそらく過去数年間で最も有害なものだ」というコメントを引用している。

リークには、コードネームがDANDERSPIRITZ、ODDJOB、FUZZBUNCH、DARKPULSAR、ETERNALSYNERGY、ETERNALROMANCE、 ETERNALBLUE 、EXPLODINGCAN、EWOKFRENZYなどのツールとエクスプロイトが含まれていた。

また作成者情報などが含まれるメタデータと呼ばれる部分には4名の氏名が記載されていた。関係者によればこの内の少なくとも1人はNSA職員で間違いないという

エターナルブルー

WindowsのServer Message Block(SMB) v1サーバーに存在する、リモートから任意のコードが実行可能な脆弱性（MS17-010）を悪用するエクスプロイト。

黒幕と動機

ロシア説

NSA元局員のエドワード・スノーデンは2016年8月16日にTwitterで「状況証拠と従来の常識で考えると、ロシアの責任を示している」とコメントした。

ニューヨーク・タイムズは、この事件をロシア連邦軍参謀本部情報総局所属のハッカー集団によって起こされた、2015年の民主党全国委員会(DNC)のサイバー攻撃と、2016年3月のポデスタEメールのハッキングの文脈で捉えている。アメリカの諜報機関が反撃を検討していたため、シャドー・ブローカーズの公開は警告と見るべきとした。

NSAインサイダー説

James BamfordとMatt Suicheは、おそらくNSAの非常に機密性の高い部署に配属された誰かがハッキングツールを盗んだ「内部犯行」だと推測している。

2016年10月、ワシントン・ポストは、国家安全保障局（NSA）から約50テラバイトのデータを盗んだとして告発されたコンサルティング会社ブーズ・アレン・ハミルトンの元・請負業者が容疑者であると報道した。しかしTSBは、この容疑者が拘留されている間も暗号で署名されたメッセージを投稿し続け、メディアのインタビューも受けている。

2019年、以前NSAで働いていたコンピューター科学者のDavid Aitelは、「ロシア人以外の誰かが知っているかどうかはわかりません。そして、それがロシア人であるかどうかさえわかりません。現時点ではわかりません。何でも真実かもしれない」と総括した。