Infostand海外ITトピックス

国家の「ゼロデイ情報」争奪戦 サイバー戦争激化の中

米企業が意図せずスパイ活動を促進

 Forbesは、昨年6月から今年4月まで、中国とパキスタンの政府機関などを標的とした攻撃について、米国企業のものとみられるツールが使われていたと9月18日報じた。

 暗号名で「Moses」と呼ばれていた企業のものによく似ており、関係者の証言から、Mosesは米国のセキュリティ企業「Exodus Intelligence」であると特定した。利用した攻撃者はインドの機関だとしている。

 Forbesは「米企業は、意図しているかどうかにかかわらず、遠く離れた場所でグローバルなサイバースパイを促進している」と言う。

 Exodusは業界では、それほど有名ではないが、ゼロデイ脆弱性のエキスパート企業だ。同社は「ファイブ・アイズ」(米英を中心とする英語圏5カ国の機密情報共有の枠組み)や、その同盟国から要請を受け、脆弱性の情報と、その利用に必要なソフトウェアの両方を提供しているという。

 ExodusのLogan Brown CEOは、Forbesの取材に対し、インド政府の職員あるいは請負業者がフィードの中からWindowsの脆弱性を選んで悪用したと考えられる、と説明。「脆弱性情報を攻撃に使うことは可能だ。しかし、われわれは、そのようなことは決してしない」と関与を否定した。インドとの契約は、今年4月に終了しているという。Forbesは、ロンドンのインド大使館にコメントを求めたが、回答はなかったという。

 Exodusのような企業は少ない。Microsoftのバグ報償金プログラムを作成したことで知られるセキュリティ研究者Katie Moussouris氏は「(ゼロデイを発見するために)必要なスキルセットを保有しているのは、世界中で常に数千人程度」と解説する。

 脆弱性情報は極めて貴重で、ゼロデイ型の攻撃ツールには200万ドル以上の値がつくこともあるという。