事件のその後 (3)
憮然とした遙香の視線をさっとかわし、笑いをかみ殺しながら智基は話題を変えた。
「結局あれって、企業ぐるみだったの?」
「さあ」
ジェリー・テイラーが逮捕された事件がニュースとなった後、メイトランド社は苦しい立場に追い込まれている。
逮捕された時点では解雇済みだったとは言え、犯行に及んだ時点において、彼はまだメイトランド社の社員だった。そのため「他社から情報を盗むための、企業ぐるみでの犯行だったのではないか」と疑いの目を向けられてしまっているのだ。
しかもまた捜査の段階で、メイトランド社にとって都合の悪い事実が発覚していた。他社の顧客データや研究資料が、メイトランド社のサーバー上に見つかったのだ。見つかったデータは、ユングレーン社とトーニオ社のものだった。
捜査の結果、それらのデータはスパイウェアにより盗み出されたものではないことが確認された。とは言え、盗み出されたデータであることには変わりがない。手段がスパイウェアでなかったというだけだ。メイトランド社に移籍した者が、退職時に前の会社から持ち出したものだった。ジェリー・テイラーとブライアン・ヘイズだ。
メイトランド社は、そのようなデータの存在を知らなかったと主張していると言う。だがその主張を額面どおりに受け取る者はまずいない。ましてや、そのデータを持ち込んだうちのひとりはジェリー・テイラーなのだ。彼を解雇したことさえ、「トカゲのしっぽ切り」と冷めた目で見られる始末である。
ただ、退職時の持ち出しデータ以上のものは、メイトランド社内からは発見されていない。だから会合でのサイバー攻撃に関しては、メイトランド社が関与した証拠は今のところ何も見つかっていないのだった。
そうした事情を説明すると、智基は「ふうん」と納得していないような顔で首をひねる。
「じゃあ、単独犯ってこと?」
「それもまだわかってない」
しかし実は、完全な単独犯である可能性は低い、と見られている。
そう判断する理由は、ジェリー・テイラーがゼロデイ攻撃を多用しているからだ。脆弱性が発見されてからそれに対する対策を講じられるまでの期間をゼロデイと呼ぶが、この期間内にその脆弱性を用いて攻撃することをゼロデイ攻撃と呼ぶ。
つまり事実上、対策が存在しない状態での攻撃のため、成功率が極めて高い。セキュリティの専門家も多数参加している会合であるにもかかわらず、これほどまで被害が広がったのは、攻撃がすべてゼロデイだったことが原因なのだ。
ダークウェブと呼ばれるアンダーグラウンドなネットワークでは、攻撃用のコードが販売されていると言う。遙香がカイルに聞いた話では、闇サイトとも呼ばれるこうしたサイトで、それこそ『攻撃コード五十種、お徳用詰め合わせセット』『PCもスマホも! これひとつで手軽に侵入』くらいの気軽さで販売されているそうだ。価格もお手頃。安いものなら数千円からある。
遙香の説明に、智基が吹き出した。攻撃コード販売のキャッチフレーズがツボに入ったらしい。
「本当にそんなもの売ってるの?」
「うん。だからたいした知識がなくても、簡単に攻撃用のサイトが作れちゃうんだって」
ただし、こうして格安で入手できるのは、すでにメーカー側で対策済みの脆弱性に対する攻撃コードばかりだ。それでも売れるのは、セキュリティレベルの低いユーザーにとって脅威であることに変わりはないからだ。
メーカー側で対策済みの脆弱性だろうと、ユーザー側がきちんとOSやソフトウェアをアップデートしていなければ、ゼロデイと変わらない。学生時代に智基のPCがひどいことになったのは、このためである。
引き合いに出されると、智基は「あ、うん」ときまり悪そうに頬をかいた。
「もう大丈夫。ちゃんと自動更新は有効にしてあるし、セキュリティソフトも入れて、パターンファイルはいつも最新にしてある」
やや上目遣いに、聞かれてもいないのに釈明を始めるものだから、遙香は「当たり前だよ」と言いつつも笑ってしまう。
「ただね、ゼロデイ攻撃のコードとなると、話が変わるの」
「さすがに販売されてないってこと?」
「ううん。そうじゃなくて、お手頃価格じゃ買えないってこと」
「へえ。どれくらいするんだろ」
「ものによるんだけど、あの事件で使われてたのはどれも一番高いタイプだったらしいよ。数百万は下らないって聞いた」
智基は「たかっ」と目をむいてから、やがて腑に落ちたように「ああ、そうか」とうなずいた。
「一個でもそんなにするなら、個人で何個もホイホイ買えるわけがないのか」
「うん、そうなんだよね。なのに会合では、毎回ゼロデイ攻撃だったらしいのよ」
脆弱性がゼロデイである期間は、それほど長くない。平均では六十日ほど。つまり約二か月だ。稀に一年以上も放置されて、メーカーに報告したセキュリティ研究者がぶち切れ、攻撃にそのまま使える脆弱性実証コードを公開してしまうという事件が起きたりはするものの、総じて早ければ一か月以内、遅くとも三か月ほどで修正されている。
ジェリー・テイラーは使っていた攻撃コードがゼロデイでなくなると、すぐに別のものを仕入れて置き換えていた。そうして切れ目なくゼロデイ攻撃を使い続けていたわけだ。ところが彼の預金残高の推移を見ると、入手先が不明な入金はあるのに、使途不明な出金はなかったらしい。つまり無償でコードを仕入れていたか、またはすべて自分で脆弱性を見つけ出してコードを作成していたかの、いずれかということだ。
そう遙香が説明すると、智基はこともなげに「なら、自分で見つけたんじゃないの?」と言う。
「だってセキュリティの専門家なんだろ?」
「ううん。この人はセキュリティじゃなくて、ネットワーク管理のほうが専門だよ」
「あ、そっか」
「それにね、バグハンティングをしていた形跡もなかったらしい」
バグハンティングをするには、普通はそれに適したツールを駆使するものだ。ところが彼のPCにはそうしたツールを使用した痕跡が一切なかった。つまり、攻撃用コードを自前で用意した可能性はほとんどない。
となると、どこからか入手したということになる。それも、無償で。だが通常なら高額で取引されるようなコードを、理由もなしに無償提供する者がいるだろうか。無償で提供されたなら、何かしら理由が必ずあるはずだ。
要するにジェリー・テイラーはあくまで実行役にすぎず、そのための手段または資金を提供していた共犯者がいる、と考えられるのだ。
「へえ。だから謎の収入は、盗んだ情報への対価だろうってことか」
「うん」
「どこに売ったんだろうな」
「さあ。闇ブローカーかもしれないし、どこかの組織かもしれないし。入手先不明としか報道されてないから、まだわかってないんだろうね」
共犯者が闇ブローカーなのか、あるいは闇ブローカーからゼロデイ攻撃を仕入れ続けられるほどの資金力を持った何らかの組織なのかは、今後の捜査を待つことになるだろう。いずれにせよ、資金の流れから判断して、会合でのサイバー攻撃に限ればメイトランド社が関与していたとはあまり思われない。
ジェリー・テイラーの自宅のPCからは、スパイウェアを仕込んだ各企業から盗み出したデータが見つかっている。しかも彼は、会合でスパイウェアを仕込んだPCを足がかりとして、それぞれの企業内で乗っ取りPCを増やしていた。あのまま放っておけば、いずれもっと重要な機密を盗み出していた可能性が非常に高い。
単なる産業スパイには留まらない様相を見せており、国防に絡む問題としてCIAが介入の姿勢を見せていると言う。そのあたりのことは、日本の報道ではほとんど触れられていない。これらの話は、遙香はジェシーから聞いた。
アメリカでの報道内容とともに彼女が説明すると、智基は「そんなに話が大きくなってるのか」と目を丸くした。
