By Alexander Rentsch

WikiLeaksが自動車やスマートテレビハッキングする極秘諜報作戦をまとめたCIAの機密資料「Vault 7」を公開したことで波紋を呼んでいます。さらにWikiLeaksは、新たなVault 7の資料を公開し、CIAが対象に気付かれることなくMacの全アクティビティをリモートで監視・送信できるというスパイツールの存在を明らかにしています。

WikiLeaks - Releases

https://wikileaks.org/vault7/darkmatter/releases/



New WikiLeaks Documents Describe Alleged Mac, iPhone Hacking Tools - WSJ

https://www.wsj.com/articles/new-wikileaks-documents-describe-alleged-mac-iphone-hacking-tools-1490307719

New WikiLeaks Vault 7 Dump Shows the CIA's Mac Firmware Attacks | WIRED

https://www.wired.com/2017/03/wikileaks-shows-cia-can-hack-macs-hidden-code/

CIAの「Vault 7」に記載されているのは、Appleの「Thunderbolt - ギガビットEthernetアダプタ」のファームウェアを変更し、「Sonic Screwdriver」と呼ばれるスパイウェア埋め込みツールに改造するというもの。MacBookにSonic Screwdriverを挿し込まれるとEFIに感染し、OS内で発生するすべての行動を遠隔で監視・送信できるようになるとのこと。

Security Research Labの創設者で、有名なファームウェアハッカーでもあるKarsten Nohl氏は「EFIはブートシーケンス全体を制御するものです。EFIはコンピューターの一部であり、何かされても検知する方法はなく、取り除く方法もほとんどありません」と述べています。マシン内に挿入されるファームウェアソフトは「DerStarke」と呼ばれ、DerStarkeはマシンの情報をひそかに中継するマルウェアツール「Triton」の事実上検出不可能なローダーとして機能するとのこと。Tritonはウェブブラウザを偽装することで、秘密のネットワークデータストリームからマシンの情報を中継することができ、マシンのハードディスクを抜き取っても、ファームウェア経由で次回の起動時に再インストールされる機能を持っています。

この攻撃を行うには、MacのUSBポートやThunderboltポートに物理的にアクセスする必要があります。CIAはターゲットが警察に拘束されている間や、セキュリティチェックポイントなどでMacを預けている時などに攻撃を行うものと見られています。この資料はMacに焦点を当てた記述となっていますが、2008年にiPhoneへの物理アクセスにも使われていたと言及されています。ただし、iPhoneへの攻撃は「ステルス性と持続性を持ち合わせていない」として、うまくはいかなかったようです。



By m.p.3.

CIAのVault 7は2013年に作られたもので、セキュアブート機能が有効になっている最新のMacでは使用できないとのこと。ただし、WikiLeaksは2016年に発効された「DerStarke 2.0」の存在を指摘しており、アンチウイルスソフト・MalwareBytesのMac関係の研究者であるトーマス・リード氏は「CIAはスパイツールをできる限り最新版にアップデートしていると考えないことは愚かなことでしょう」と話しています。