Shadow BrokersがNSAも使用というエクスプロイト公開
2017年4月19日 19:20
headless 曰く、 The Shadow Brokersを名乗る人物またはグループは、米国家安全保障局(NSA)がサイバー攻撃に使用しているというツールやエクスプロイトを今年に入ってたびたび公開している。14日に公開された「Lost in Translation」にはWindowsのゼロデイ脆弱性を使用するエクスプロイトが含まれる可能性も指摘されたが、Microsoftが調査したところゼロデイは含まれていなかったとのこと(MSRC、SlashGear、Ars Technica)。
公開されたダンプには、Windowsの脆弱性を利用するエクスプロイトが12本含まれる。このうち5本は数年前までに脆弱性が修正されており、3本は現在サポートされる製品には影響しないとのこと。残り4本のうち「EternalBlue」「EternalRomance」「EternalSynergy」はMS17-010、「EternalChampion」はCVE-2017-0146/CVE-2017-0147で、いずれも3月に修正されている。
しかし、3月の修正はあまりにタイミングがよく、セキュリティ情報にはいずれも報告者の名前がないことから、NSAから情報提供を受けたのではないかという見方も出ている。さらにArs Technicaの記事では、MicrosoftがShadow Brokersから秘かに情報を買った、偶然脆弱性を自力で発見した、という2つの可能性も指摘する。ただし、セキュリティ情報では「悪用」が「なし」になっており、NSAやShadow Brokersから情報を得て修正したという見方にも疑問があるとしている。
Shadow Brokersは昨年8月、NSAのサイバー攻撃ツールを入手したとしてオークション形式で売却する考えを示していたが、オークションは成立しなかったようだ。今年に入ってShadow Brokersは引退を表明し、一部のツールを公開した。ただし、データベースの売却はあきらめておらず、その後も部分的な公開を行っている。
なお、Lost in Translationに含まれるのはWindowsを対象としたエクスプロイトだけではない。復号したファイルは複数のGitHubリポジトリで公開されているが、misterch0c氏のリポジトリには簡単な説明付きでエクスプロイトがリストアップされているので、興味のある方は参照してほしい。