ソフトウェアのプログラムに悪意あるコードを仕込むハッキング手法──ソフトウェアサプライチェーン攻撃──は、よくある手口だ。増え続けるこの種の攻撃は、さまざまなかたちをとる。
ハッカーが更新サーバーに侵入してマルウェアを埋め込むこともあれば、開発ネットワークに忍び込んでソフトウェアのソースコードを汚染することもある。そして今回は、「Jia Tan」として知られるとりわけ悪質なハッカーが、丁寧かつ熱心に開発協力を申し出て、2年間も開発に参加していたのだ。
3月末、サイバーセキュリティとオープンソースソフトウェアのコミュニティは、あるニュースに衝撃を受けた。多くの主要なLinuxディストリビューションに採用されている圧縮ツール「XZ Utils」の比較的新しい実験版にバックドアが確認されたというニュースだ。このバックドアにより、秘密鍵をもつハッカーがシステムに接続し、管理者権限でコマンドを実行できるようになっていたという。
たまたま、ひとりのマイクロソフトのエンジニア、アンドレ・フロイントが、LinuxディストリビューションのひとつであるDebianで、SSH経由のリモートアクセスに「奇妙な遅延」を見つけ、調査をしてこのスパイ攻撃を突き止めた。しかし、世界中にある数千万のシステムで実際に使われる前に気づけたのは、単なる偶然にすぎない。
現在、そのバックドアは「XZ Utils」のオープンソース開発で、リーダー的立場だったJia Tanと名乗る人物によって埋め込まれたことがわかっている。そして、バックドア発見によって生まれたひとつの謎が、テクノロジー業界にじわじわと広がっている──Jia Tanとは何者で、実のところ彼、彼女、あるいは複数の人たち(その可能性が高い)は何のためにそんなことをしたのだろうか?
狡猾な作戦、巧妙なバックドア
Jia Tanが悪用したのは、オープンソースソフトウェアの特徴である、GitHubのようなコードリポジトリ上で誰もがプログラム変更を提案できる、クラウドソーシング的なコーディング手法だ。提案された変更は、ほかのコード作成者のレビューを経てソフトウェアに組み込まれる。オープンソース・プログラミング界隈でのJia Tanの経歴をさかのぼると、2021年11月にユーザーネームJiaT75として初めてGitHubに現われ、Jia Tan、ときにJia Cheong Tanの名で1年以上にわたりいくつかのオープンソースプロジェクトに貢献したのち、XZ Utilsに変更を提案するようになったことがわかる。
23年1月には、Jia Tanの書いたコードがXZ Utilsに組み込まれていた。翌年にかけてJia Tanは、当初のメンテナーであるラッセ・コリンに代わり、プロジェクトの大部分の主導権を握るようになった。コリンが交代に追い込まれた理由のひとつが、アップデートが遅いと苦情を訴える、数人のユーザーからのしつこいメールだった(このユーザーたちが無意識の共犯なのか、それともコリンに主管理者としての立場を譲ることを納得させるためにJia Tanと共謀したのかは未だ不明。『WIRED』はコメントを求めたが、ユーザーの誰からも返信はなかった)。
そして今年の2月、ついにJia Tanは、XZ Utilsに秘密のバックドアを仕込むことに成功した。
この人間離れした辛抱強い手法に加え、バックドアの技術的な特徴と精巧さから、サイバーセキュリティ業界の多くの関係者は、Jia Tanは国家の支援を受けた、しかも非常に能力の高いハッカー集団のハンドルネームに違いないと考えるようになった。「数年に及ぶ今回の作戦は極めて狡猾で、埋め込まれたバックドアも信じがたいほどに巧妙につくられています」。そう話すのは、23年までロシアのサイバーセキュリティ会社カスペルスキーの最年長リサーチャーとして、グローバル・リサーチ・アンド・アナリシス・チームを率いていたコスティン・ライウだ。「これは国家の支援を受け、長期的な目標を念頭にオープンソースプロジェクトへの侵入に何年もかけるだけの余裕のある集団でしょう」
では具体的にどこの国なのか。中国、ロシア、そして北朝鮮と、ライウはいつもの顔ぶれの名を挙げる。と同時に彼は、犯人を特定するのは時期尚早だと言う。「明らかなことがひとつあります。今回の件は、わたしの知る限り、ソフトウェアサプライチェーンに対するあらゆる攻撃のなかで最も巧妙なものです」
正体不明で超多忙なプログラマー
XZ Utilsのバックドアが発覚して以降、Jia Tanには厳しい監視の目が向けられるようになったが、リサーチャーたちはJia Tanのオペレーション・セキュリティのレベルが驚くほど高いと指摘している。
サイバーセキュリティ分野のフリージャーナリスト、ブライアン・クレブスは、侵入されたデータベースを徹底的に調べても、Jia Tanから仲間のオープンソース・コントリビューターに送られたメッセージのほかに、メールアドレスの「痕跡をひとつも」見つけられなかったと書いている。また、Jia TanはシンガポールのIPアドレスを使ってVPN経由ですべての通信を行なっていたようだ。
それ以外のJia Tanにつながる痕跡は、オンライン上に一切存在しない。それはJia Tanが「ひとつの目的のために生み出された人物」であり、今回のバックドアは何度も思考を重ね、多大な忍耐力と高度な技術によって開発されたことを示していると、サイバーセキュリティトレーニング会社SANS Instituteでインストラクターを務めるウィル・トーマスは語る。
バックドア発覚後、Jia Tanという存在は姿を消した。『WIRED』はGmailのアドレスにメールを送ったが、返信はない。GitHubの広報担当者によると、Jia TanのGitHubアカウントは停止中だという。
実際のところ、Jia Tanが残したとおぼしきただひとつの足跡は、コントリビューターとしてオープンソース開発コミュニティに行なった数多くの貢献だ。不快なことに、Jia Tanによる最初のコード変更は、やはり幅広く使用されているオープンソース圧縮ライブラリ「libarchive」に対して行なわれた。機能を安全性の低いものに変更し、その後さらに悪意のあるコード変更をもくろんでいた可能性がある――ただし問題は解決済み──と、Jia Tanにかかわる一連のできごとを詳細な時系列にまとめた開発者エヴァン・ボエスは記している。
21年から24年2月までにJia Tanは7件以上のプロジェクトに合計6,000のコード変更を実施したと、サイバーセキュリティ会社NetRiseの共同創業者で、かつて米国サイバー軍に所属し海兵隊サイバー戦争グループに勤務していたマイケル・スコットは言う。それらの変更が及ぼした細かい影響すべてを見極めるのはほぼ不可能だと、スコットは指摘する。「コミット」と呼ばれるそうしたコード変更は、多くの場合「コミットのスカッシュ」の過程でコレクションにまとめられるので、どの変更がJia Tanによってなされたものか必ずしも明らかでないのだ。また、libarchiveのようなライブラリには多くのバージョンがあり、どのバージョンがどのソフトウェアに組み込まれたかを追跡するのは難しく、混乱に拍車をかけている。「このスレッドをたどって、すべてのコード変更の結果を突きとめようとしても、収拾がつかなくなるでしょう」
Jia Tanは、ほかのコントリビューターとのメールでのやり取りで、あるときは「この機能をすでにここまでのレベルにしてくれて、ふたりともよくやってくれた」、またあるときは「機会があればこれらのパッチについての考えを教えてください」などと書いている。こうしたやり取りについて、スコットは「非常に簡潔でムダがない」けれども、かといってChatGPTが作成した文章ほど冷たい感じは受けなかったと話す。XZ Utilsに貢献した開発者でJia Tanから「フィードバック」のメールを受け取ったことのあるヨルディ・マスは、かなり信頼できる人物だと思ったと振り返る。
Jia Tanが3年にわたりコードを変更し、丁寧なメールを送っていた究極の目的は、そのプロジェクト自体への妨害というよりは、標的として選んだXZ Utils(や将来的にはほかのプロジェクト)を書き換えるために、必要な信頼を積み上げるためだったと、スコットは考えているという。
「Jia Tanが目的を果たせなかったのは、たまたま彼の悪事を見つけ出せたから」だと、スコットは言う。「築き上げた信頼を失い、彼はいちから出直さなければならなくなったのです」
手口の特徴とタイムゾーンの謎
Jia Tanのペルソナは「個人」ということになってはいるが、何年もかけて準備する手法からして、その正体は国家の支援を受け高度に組織化されたハッカー集団であると、カスペルスキーの元主任リサーチャーのライウは主張する。Jia TanがXZ Utilsに組み込んだ悪意あるコードからも、同じことが言えるという。
ライウによると、一見するとコードは圧縮ツールのように見えるが、「かなり悪質な方法で書かれている」という。もしこれが特定のコマンド・アンド・コントロール・サーバーにアクセスしようとするバックドアなら、オペレーターの特定につながるかもしれない。しかし、今回仕込まれたのは「パッシブ」なバックドアで、オペレーターがターゲットのマシンにSSH経由で接続し、ED448として知られる特別強固な暗号化機能のついた秘密鍵で認証するのを待つタイプのため、そうはならないとライウは語る。
ライウの推察は次のようなものだ。こうした用心深い設計は米国のハッカーの手によるものかもしれないと思わせるが、米国は通常オープンソースプロジェクトを破壊するような真似はしないし、もし国家安全保障局(NSA)であればED448ではない耐量子計算機暗号技術を用いるだろうから、その可能性は低い。そうなると残るのは、サプライチェーン攻撃をした実績のある米国以外のグループ、つまり中国のAPT41、北朝鮮のラザルスグループ、そしてロシアのAPT29ではないか。
ちょっと見たところ、確かにJia Tanは東アジアのハッカー集団に思える。あるいはそう思われるよう装っているのかもしれない。Jia Tanによるコミットのタイムゾーンは「UTC+8」。これは中国のタイムゾーンで、北朝鮮とは1時間差だ。しかし、リサーチャーのレア・カーティとサイモン・ヘニガーによる解析結果は、Jia TanがコミットのたびにコンピューターのタイムゾーンをUTC+8にセットしていた可能性があることを示唆している。いくつかのコミットは東ヨーロッパや中央ヨーロッパ時間に設定されたコンピューターから実施されていて、ふたりはおそらくJia Tanが変更するのを忘れたことが原因ではないかと見ている。
「Jia Tanが中国の重要な祝日に作業していたことも、中国でない理由のひとつにはなるでしょう」と、それぞれダートマス大学、ミュンヘン工科大学の学生であるカーティとヘニガーは言う。ふたりはJia Tanがクリスマスや元旦には新しいコードを提案していなかったとも指摘する。開発者のボエスによると、作業はたいてい東ヨーロッパまたは中央ヨーロッパ時間の午前9時に始まり午後5時に終わっている。「コミットが行なわれる時間帯を見ると、彼らが副業として活動していたとは思えません」とボエスは語る。
となると、イランやイスラエルといった国の可能性もあるわけだが、元NSAのハッカーで、サイバーセキュリティ会社であるImmunityの創業者、デイヴ・アイテルは、大多数の手がかりから、やはりロシア、とくにロシアのハッキング集団APT29の関与が浮かび上がると主張する。アイテルは、APT29はロシアの対外諜報機関である対外情報庁(SVR)の指示を受けて活動していると広く考えられており、噂によればほかのハッカー集団には見られない一種の技術的な配慮をすると言われていると語る。APT29は、史上最も巧みな連携によって最大の影響を及ぼした米Solar Windsへのサイバー攻撃の実行犯でもある。APT41やラザルスの粗雑なやり方に比べ、APT29の攻撃スタイルはXZ Utilsにバックドアを仕込んだ手口により一致しているのだ。
「ほかのハッカー集団の可能性も充分考えられるでしょう。でも、地球上でもっとも高度なサプライチェーン攻撃は、詳しく分析していくと、SVRにいるお馴染みの顔ぶれにたどり着いてしまいます」とアイテルは言う。
セキュリティ・リサーチャーたちが合意するのは、Jia Tanは少なくとも実在する人間でなく、ましてやこの件がひとりの人間の犯行である可能性は低いという点だ。むしろJia Tanは、統制のとれた組織による新戦術をオンラインで体現したペルソナであることは明らかなようだ。しかもその戦術は危うく効力を発揮するところだった。つまり、わたしたちはいつかJia Tanが別の名前で再び姿を現し、いかにも礼儀正しく熱心なオープンソースプロジェクトのコントリビューターとして、政府の目的を隠しながらコード・コミットを行なうものと覚悟しておかなければならない。
(Originally published on wired.com, translated by Takako Ando/LIBER, edited by Mamiko Nakano)
※『WIRED』によるセキュリティの関連記事はこちら。
.jpg)
雑誌『WIRED』日本版 VOL.52
「FASHION FUTURE AH!」は好評発売中!
ファッションとはつまり、服のことである。布が何からつくられるのかを知ることであり、拾ったペットボトルを糸にできる現実と、古着を繊維にする困難さについて考えることでもある。次の世代がいかに育まれるべきか、彼ら/彼女らに投げかけるべき言葉を真剣に語り合うことであり、クラフツマンシップを受け継ぐこと、モードと楽観性について洞察すること、そしてとびきりのクリエイティビティのもち主の言葉に耳を傾けることである。あるいは当然、テクノロジーが拡張する可能性を想像することでもあり、自らミシンを踏むことでもある──。およそ10年ぶりとなる『WIRED』のファッション特集。詳細はこちら。