KADOKAWA Technology Review
×
Should The Government Keep Stockpiling Software Bugs?

ランサムウェア攻撃で再燃する米政府の責任論

WannaCryによる大規模なサイバー攻撃が、謎に包まれた米国政府の手続きをめぐる微妙な問題を再浮上させた。政府が入手した脆弱性を公表するべきか、再び議論になっている。 by Mike Orcutt2017.05.16

The top brass in the U.S. intelligence community are keeping their mouths shut about software vulnerabilities.
米国インテリジェンス・コミュニティの幹部はソフトウェアの脆弱性について口を閉ざしている

5月12日以降、150カ国以上でシステムを無力化させた世界規模のランサムウェア攻撃が沈静化に向かう中、 米国政府がソフトウェアの脆弱性をひそかに収集、公開する手法が、またもや厳しい視線を浴びている。

ウィンドウズXPの脆弱性が悪用されたワナクライ(WannaCry、別名ワナクリプト:WannaCrypt、ワナディクリプター:Wanna Decryptor)と呼ばれるランサムウェア・ウイルスによる攻撃を巡っては、規模と影響力の大きさからマイクロソフトへの非難の声が上がっている。ただし、マイクロソフトはウィンドウズXPのOSサポートを2014年に停止しており、使用期限切れのウィンドウズXPを使うユーザーは自らリスクを背負っている。脆弱性が悪用されていることに気づいたマイクロソフトは、速やかにバグの修正パッチをリリースしたが、こんなに古いソフトウェアを対象とするのは異例の措置だ

マイクロソフトのブラッド・スミス社長兼CLO(最高法務責任者)は、今回の攻撃が、ハッカー集団「シャドウ・ブローカーズ」が米国国家情報局(NSA)から盗み出したハッキングツールを利用したものと見られることから、事件の責任は米国政府にもある、と述べた。スミス氏はブログ記事の中で、発見した脆弱性を公表しない政府の対応を批判した。「政府には脆弱性の秘匿や悪用が一般市民に与える影響について、考慮してもらわなればなりません」 。

ソフトウェアの重大な脆弱性を開示するか伏せておくか、両者のリスクを検討し、決定を下す手続き手順として、米国政府には脆弱性公平プロセス(VEP)がある。しかし、VEPがどのようにして運用されるのか、一般市民はほとんど理解していない。プライバシー擁護団体は以前から透明性の向上を訴えているものの、ごくわずかな成果しか挙がっていない状況だ。

VEPは2010年から存在していたと考えられているが、存在は2014年まで公表されていなかった。ブルームバーグは2014年、深刻な広まりを見せたインターネット通信暗号化ソフトの脆弱性「ハートブリード」の存在をNSAが数年前から認識しており、諜報活動に活用していたと報じ、ホワイトハウス国家情報長官はそれぞれ報道を否定する声明を発表した。オバマ政権でサイバーセキュリティ調整官を務めたマイケル・ダニエル氏は、当時の政権では「脆弱性の開示に関して、厳格かつ規律に則った、高度な意思決定プロセスを設けたのです」と主張した。

ダニエル調整官は当時、脆弱性に関する情報を政府が秘匿しておくべきか否かは「明白だと思う人もいるかもしれません」と述べる一方、「現実はもっと複雑なのです」とも言った。脆弱性を開示すれば、米国は 「テロリストの攻撃を阻止できる重要な情報を収集するチャンスを逃す」ことになるかもしれない」。それにもかかわらず、オバマ政権の政府の意思決定プロセスは「責任を持って脆弱性を開示することに偏っていたのです」。

2016年1月、電子フエロンティア財団(EEF)が情報公開法に基づいて起こした訴訟のおかげで、政府は一部編集したVEPの説明文書を公開した。しかし、具体的にどのようにして意思決定がなされるのか、誰が決定を下すのか、政府が公表していない脆弱性がいくつあるのかは、依然として不明だ。コロンビア大学所属研究員で、シンクタンク大西洋評議会のジェイソン・ヒーリー上級特別研究員は直近で秘匿されている脆弱性の数は数十に上るだろうと見積もった

政府の基本方針は情報開示だと、ダニエル調整官は明言したが、最近の出来事により、VEPが本当にこの方針に沿って運用されているのか疑問が生じている。最近発表された論文の中で、ヒーリー上級特別研究員は、聞き取り調査やVEPに関する政府の公式声明にもとづき、NSAは「ほぼ確実に」、前回の情報漏えいの際に脆弱性を開示しておくべきだった、と結論付けた。シャドウ・ブローカーズによる前回の漏えい事件では、シスコシステムズ、ジュニパー、フォーティネットを始めとする企業が被害を受けた。また、米国連邦捜査局(FBI)も、昨年サンバーナーディーノのテロ銃撃犯のiPhoneをロック解除した際に活用した脆弱性についてアップル知らせるべきだったと、ヒーリー上級特別研究員は論じている。

残念ながら、透明性の改善とそれに伴う説明責任が果たされる見込みは薄い。VEPは連邦政府の行政執行機関によって支配されており、市民に開かれた形での監視を何ら受けていないからだ。トランプ政権が改革を決定しない限り、情報が一般に開示されることはなさそうだ。それは次の大規模サイバー攻撃が発生したときになるだろう。

 

人気の記事ランキング
  1. The AI Act is done. Here’s what will (and won’t) change ついに成立した欧州「AI法」で変わる4つのポイント
  2. Apple researchers explore dropping “Siri” phrase & listening with AI instead 大規模言語モデルで「ヘイ、シリ」不要に、アップルが研究論文
  3. Advanced solar panels still need to pass the test of time ペロブスカイト太陽電池、真の「耐久性」はいつ分かる?
マイク オルカット [Mike Orcutt]米国版 准編集者
暗号通貨とブロックチェーンを担当するMITテクノロジーレビューの准編集者です。週2回発行しているブロックチェーンに関する電子メール・ニュースレター「Chain Letter」を含め、「なぜブロックチェーン・テクノロジーが重要なのか? 」という疑問を中心に報道しています。
10 Breakthrough Technologies 2024

MITテクノロジーレビューは毎年、世界に真のインパクトを与える有望なテクノロジーを探している。本誌がいま最も重要だと考える進歩を紹介しよう。

記事一覧を見る
人気の記事ランキング
  1. The AI Act is done. Here’s what will (and won’t) change ついに成立した欧州「AI法」で変わる4つのポイント
  2. Apple researchers explore dropping “Siri” phrase & listening with AI instead 大規模言語モデルで「ヘイ、シリ」不要に、アップルが研究論文
  3. Advanced solar panels still need to pass the test of time ペロブスカイト太陽電池、真の「耐久性」はいつ分かる?
気候テック企業15 2023

MITテクノロジーレビューの「気候テック企業15」は、温室効果ガスの排出量を大幅に削減する、あるいは地球温暖化の脅威に対処できる可能性が高い有望な「気候テック企業」の年次リストである。

記事一覧を見る
フォローしてください重要なテクノロジーとイノベーションのニュースをSNSやメールで受け取る