headless 曰く、

Kaspersky Labは16日、同社の製品が原因で米国家安全保障局(NSA)の機密情報がロシア側へ渡ったと10月に報じられた件について、調査結果を発表した(Securelistの記事、 Ars Technicaの記事、 V3の記事)。

Kaspersky Labでは10月下旬、機密情報流出の原因となったNSA契約スタッフとされる人物の自宅PCが多数のマルウェアに感染していたことや、同社に送信された機密情報が複数のNSAによるマルウェアとともに7-Zipアーカイブに格納されていたことなどを含む調査結果を事前発表していた(過去記事)。今回の発表はさらに踏み込んだ内容となっている。

カスペルスキー製品が意図的に機密情報を収集していたとの疑惑に対しては、マルウェアのシグニチャにのみ基づいてサンプルの収集を行っていると否定する。同社アナリストが作成したマルウェアのシグニチャは社内の別のグループによるチェックが行われるうえ、サードパーティへの提供も行われるため、マルウェアを含まない機密情報を見つけ出すようなシグニチャを紛れ込ませることも困難だという。

サンプルとして送られてきたファイルにNSAの機密情報やソースコードが含まれていたという報告を受けたユージン・カスペルスキー氏はすぐに削除するよう指示しており、社内システムには検出の形跡を示すメタデータ程度しか残されていないという。ただし、同社のアナリストは米政府機関の機密情報を扱うトレーニングを受けていないため、同社での機密情報取り扱いが米政府の基準に適合しているかどうかは判断できないとのこと。また、送信経路で盗まれる可能性については、適切な暗号化が行われていることから排除できるとしている。

この人物はOffice 2013の不正アクティベーションツールを実行するためにカスペルスキー製品を無効化したとみられ、この間に機密情報が盗まれた可能性が高いという。この不正アクティベーションツールはMokes/SmokeBotと呼ばれるバックドアが搭載されている。カスペルスキー製品はこのバックドアを検出してブロックするため、ツールを実行するには無効化する必要がある。

不正アクティベーションツールは2011年にロシアのハッカーが開発したと考えられているが、機密情報流出が発生したとみられる期間には中国のグループがC&Cサーバーのドメインを登録していたとのこと。この人物は高いレベルの機密情報アクセスが認められていたことから、スパイの重要なターゲットになっていた可能性も高い。そのため、当時のカスペルスキー製品では検出できなかったマルウェアにより機密情報が盗まれた可能性もあるとのことだ。