マカフィー、1月に発表したGoogleへの攻撃に関するレポートの内容を訂正
レポートで関係性を指摘されたファイルは、攻撃とは無関係
米国McAfeeが、2009年末に発生した米国Googleなどの企業に対するサイバー攻撃に関する誤った情報を提供したことで、セキュリティ研究者のコミュニティが一時混乱する事態となった。
McAfeeは3月30日、同社が「Operation Aurora」と名付けたこの攻撃に関する最初の調査レポートに誤りがあり、Auroraと無関係のファイルをこの攻撃と結びつけてしまったことを明らかにした。
Auroraは、高度な手法を利用したスパイ行為で、大手企業から知的財産を盗み出すことが目的と見られており、Googleや米国Intel、米国Symantec、米国Adobe Systemsなどに対する攻撃との関係性も指摘されている。Googleもこの事態を深刻に受け止めており、中国の検索サービス事業から撤退することを決めた際には判断材料の1つとなった。
McAfeeの最初のレポートでAuroraと結びつけられたファイルは、実際には現在も機能しているボットネット・ネットワークに関係している。このボットネットは、ベトナムの環境保護活動家を攻撃するために構築されたという。
McAfeeの脅威調査担当バイスプレジデント、ディミトリー・アルペロビッチ(Dmitri Alperovitch)氏によると、同社はAuroraによる攻撃を受けた10数社の企業を調査し、4社のネットワークでベトナムのボットネットに関係するファイルを発見したという。このため同社は、このボットネットがAurora攻撃の一翼を担っていると考えたが、ほどなく無関係であることが判明したという。
McAfeeが最初の報告書でAuroraとの関係を指摘した4つのファイル(jucheck.exe、zf32.dll、AdobeUpdateManager.exe、msconfig32.sys)は、実際にはベトナムのボットネットに関係するものだという。
同社の最高技術責任者ジョージ・カーツ(George Kurtz)氏は3月30日のブログ・エントリで、「このマルウェアは、Auroraと無関係であり、使用されている制御命令サーバも異なるものであると思われる」と述べた。
アルペロビッチ氏は、McAfeeが誤った内容の調査レポートを発表したことで、ほかのセキュリティ企業の間に混乱が生じたことを認めている。「Auroraについての分析を発表した企業のなかには、攻撃の実態を把握できなかったところもある」と同氏。
そうした企業の1つが米国のDamballaだ。同社は今月初め、Aurora攻撃はアマチュアに近いボットネット開発者によるものであるとの見解を示しめしている。
しかし、McAfeeやAurora攻撃について調査していた研究者は、この見解に対してすぐに異を唱えた。Aurora攻撃の実行者は、慎重な調査を行ったのち、高度な手法を用いて攻撃対象のネットワークに入り込み、察知されることなく企業の知的財産をほかの国に移動させていたからだ。
コンピュータ犯罪の調査などを行っている米国のMandiantは、このタイプの攻撃を“先進的かつ永続的な脅威”と位置づけており、調査レポートでも「犯罪行為に手を染めているアマチュアのボットネット・チーム」によるものではないと指摘している。
Mandiantのディレクター、ロブ・リー(Rob Lee)氏は、「ボットネットは、先進的かつ永続的な脅威ではない」としたうえで、Damballaが誤った結論を導き出したのは基になった情報が正しくなかったためとの見方を示した。
一方、Damballaは、この件についてのコメントを3月31日に発表するとしている。
Googleの技術者であるニール・メータ(Neel Mehta)氏はブログ・エントリで、ベトナムのマルウェアと同社に対する攻撃の関連性を否定した。
また、Googleの広報担当者も、電子メールによる取材に対し「Damballaは、当社が1月に発表した調査に関する直接的な情報を入手していたわけではない。Auroraとベトナムのボットネットの問題について一部で混乱が生じていたようだが、当社は、ブログのなかで、両者は無関係であると明確に説明していた」と述べている。
(Robert McMillan/IDG News Serviceサンフランシスコ支局)
