【追加情報】ミスティ・ハンナのマジックショー・QRコードの謎

【追加情報】ミスティ・ハンナのマジックショー・QRコードの謎
2013年4月24日に行われた、ミスティ・ハンナのマジックショー(下記リンク)について、リュケイオン・メンバーの協力により新たにわかったことがありましたのでご報告します。

https://plus.google.com/+MailEater_White/posts/Tr31erBvuMR
【Incidents at the Dawn】01:ミスティ・ハンナのマジックキャッスル・ショー【Events】

このショーに参加したAGのひとりが受け取ったQRコードが記された紙を読み取ると、Googleの短縮アドレス( http://goo.gl/KvNww )が読み取れました。アクセスすると、Googleドライブ上にあるEメールファイル(.eml)が見つかります。
https://plus.google.com/u/0/102833692554558614986/posts/H2BYWBaRkpD
2013/04/26 QRコードを受け取ったAGによる投稿。コメント欄にメール本文が記載されています。

送信者・受信者ともに暗号化されていて読み取ることができませんが、本文は次のような内容でした(原文は省略)。

件名:ジュネーブ漏洩の可能性
本文:
今週のジュネーブ襲撃後に回収されたハード・ドライブを一部調査したところ、そのうち12台の内容が消去され、ブートセクターはアスキー文字「;D」の繰り返しで上書きされていたことがわかった。ディスク診断の結果は何も得られなかったものの、ジュネーブ施設の内部ルータを通過する多数の不審なパケットダンプを発見した。IPv4経由のIPv6トラフィックによりファイヤーウォールを突破する接続が開かれていたようだ。トラフィック発生元のIPアドレスに対しリバースDNSルックアップをかけてみたところ、ロシアのデスクトップ・ボットネットのTOR出口ノードにつながっていた。
おそらくナイアンティック施設ではセキュリティレベルの異なるコンピュータ間での「エアギャップ」が適切に設定されていなかった可能性がある。そういった状況で第三者がナイアンティックの通常我々がアクセスできない分類にあるデータおよび内部文書にアクセスし削除したと考えられる。またそれは、他にもまだ見つかっていないナイアンティック・システムへの改ざんがあり得るという懸念を示している。ITセキュリティチームには、ナイアンティック施設内のドライブからはインターネットに接続するシステムへ繋がないよう細心の注意をを促すつもりである。これらのシステムには未検出の高度標準型攻撃と思われるウイルスあるいはワームがまだ存在している可能性が非常に高い。

差出人が不明なのですが内容と送信日(ファイル名が送信日だと考えられます)から思い当たるのはマジックショーの3日前に起きた、2013年4月21日のHAZDATAによるナイアンティック施設襲撃事件。
https://plus.google.com/u/0/114284643521684433094/posts/g467Dmubpjb
後日明 氏によるHAZDATAのナイアンティック制圧事件まとめ
メールの内容から、HAZDATAの現地スタッフが何者かにセキュリティに関する報告をしているように見えます。またメールのヘッダー部分を開いてみると、送受信経路の中に <~iqt.mil> というサーバー名がいくつか見つかります。
「.mil」というのはアメリカの軍事関係機関が使用するドメインですが、「iqt」の略称で私達が思い当たるのは IQ-Tech社 です。このメールはIQ-Tech社のサーバーを通じて送受信されたのでしょうか。

事件前後のP.A.シャポーによる漏洩を調べてみると、奇妙なことがわかります。
http://ingress.lycaeum.net/2013/04/20130421-sc521c-IQT.html
2013/04/21 ナイアンティック施設の現況報告

宛先の氏名は潰されていますが、IQ-Tech社のチーフ・エグゼクティブ・オフィサー宛に何者かがHAZDATA襲撃事件後の様子を報告しています。この時点で施設内にはHAZDATAの人間しか残っていなかったはずですので、送信者はHAZDATA関係者である可能性が高いと考えられます。
しかし翌日には様子の異なる漏洩があります。
http://ingress.lycaeum.net/2013/04/20130422-sc522a-IQT.html
2013/04/22 HAZDATA現地オペレーターよりCEOカオル・ウォン宛の現況報告

こちらも襲撃事件後の報告ですが宛先はHAZDATAのトップであり、IQ-Techがそれを監視・傍受した記録(書類のフォーマットがIQ-Techのもの)だということがわかります。前日には直接報告を受けていながら、この日には内部報告を監視しているのです。いったいどういうことなのでしょうか?

いずれにしてもこの時点でIQ-TechとHAZDATAの間に何らかの関係があったこと、21日のCERN制圧事件にIQ-Techが関与していた可能性が示唆されていました。これについては引き続き調査を続けていきたいと思います。

最後になりましたが、メールの翻訳および情報提供にご協力くださった YutoRaion 、 後日明 両氏に感謝申し上げます。

#ProjectLycaeum #ingress

コメント