KADOKAWA Technology Review
×
年間購読料20%オフ & マガジン1冊プレゼントキャンペーン 実施中!
Should The Government Keep Stockpiling Software Bugs?

ランサムウェア攻撃で再燃する米政府の責任論

WannaCryによる大規模なサイバー攻撃が、謎に包まれた米国政府の手続きをめぐる微妙な問題を再浮上させた。政府が入手した脆弱性を公表するべきか、再び議論になっている。 by Mike Orcutt2017.05.16

The top brass in the U.S. intelligence community are keeping their mouths shut about software vulnerabilities.
米国インテリジェンス・コミュニティの幹部はソフトウェアの脆弱性について口を閉ざしている

5月12日以降、150カ国以上でシステムを無力化させた世界規模のランサムウェア攻撃が沈静化に向かう中、 米国政府がソフトウェアの脆弱性をひそかに収集、公開する手法が、またもや厳しい視線を浴びている。

ウィンドウズXPの脆弱性が悪用されたワナクライ(WannaCry、別名ワナクリプト:WannaCrypt、ワナディクリプター:Wanna Decryptor)と呼ばれるランサムウェア・ウイルスによる攻撃を巡っては、規模と影響力の大きさからマイクロソフトへの非難の声が上がっている。ただし、マイクロソフトはウィンドウズXPのOSサポートを2014年に停止しており、使用期限切れのウィンドウズXPを使うユーザーは自らリスクを背負っている。脆弱性が悪用されていることに気づいたマイクロソフトは、速やかにバグの修正パッチをリリースしたが、こんなに古いソフトウェアを対象とするのは異例の措置だ

マイクロソフトのブラッド・スミス社長兼CLO(最高法務責任者)は、今回の攻撃が、ハッカー集団「シャドウ・ブローカーズ」が米国国家情報局(NSA)から盗み出したハッキングツールを利用したものと見られることから、事件の責任は米国政府にもある、と述べた。スミス氏はブログ記事の中で、発見した脆弱性を公表しない政府の対応を批判した。「政府には脆弱性の秘匿や悪用が一般市民に与える影響について、考慮してもらわなればなりません」 。

ソフトウェアの重大な脆弱性を開示するか伏せておくか、両者のリスクを検討し、決定を下す手続き手順として、米国政府には脆弱性公平プロセス(VEP)がある。しかし、VEPがどのようにして運用されるのか、一般市民はほとんど理解していない。プライバシー擁護団体は以前から透明性の向上を訴えているものの、ごくわずかな成果しか挙がっていない状況だ。

VEPは2010年から存在していたと考えられているが、存在は2014年まで公表されていなかった。ブルームバーグは2014年、深刻な広まりを見せたインターネット通信暗号化ソフトの脆弱性「ハートブリード」の存在をNSAが数年前から認識しており、諜報活動に活用していたと報じ、ホワイトハウス国家情報長官はそれぞれ報道を否定する声明を発表した。オバマ政権でサイバーセキュリティ調整官を務めたマイケル・ダニエル氏は、当時の政権では「脆弱性の開示に関して、厳格かつ規律に則った、高度な意思決定プロセスを設けたのです」と主張した。

ダニエル調整官は当時、脆弱性に関する情報を政府が秘匿しておくべきか否かは「明白だと思う人もいるかもしれません」と述べる一方、「現実はもっと複雑なのです」とも言った。脆弱性を開示すれば、米国は 「テロリストの攻撃を阻止できる重要な情報を収集するチャンスを逃す」ことになるかもしれない」。それにもかかわらず、オバマ政権の政府の意思決定プロセスは「責任を持って脆弱性を開示することに偏っていたのです」。

2016年1月、電子フエロンティア財団(EEF)が情報公開法に基づいて起こした訴訟のおかげで、政府は一部編集したVEPの説明文書を公開した。しかし、具体的にどのようにして意思決定がなされるのか、誰が決定を下すのか、政府が公表していない脆弱性がいくつあるのかは、依然として不明だ。コロンビア大学所属研究員で、シンクタンク大西洋評議会のジェイソン・ヒーリー上級特別研究員は直近で秘匿されている脆弱性の数は数十に上るだろうと見積もった

政府の基本方針は情報開示だと、ダニエル調整官は明言したが、最近の出来事により、VEPが本当にこの方針に沿って運用されているのか疑問が生じている。最近発表された論文の中で、ヒーリー上級特別研究員は、聞き取り調査やVEPに関する政府の公式声明にもとづき、NSAは「ほぼ確実に」、前回の情報漏えいの際に脆弱性を開示しておくべきだった、と結論付けた。シャドウ・ブローカーズによる前回の漏えい事件では、シスコシステムズ、ジュニパー、フォーティネットを始めとする企業が被害を受けた。また、米国連邦捜査局(FBI)も、昨年サンバーナーディーノのテロ銃撃犯のiPhoneをロック解除した際に活用した脆弱性についてアップル知らせるべきだったと、ヒーリー上級特別研究員は論じている。

残念ながら、透明性の改善とそれに伴う説明責任が果たされる見込みは薄い。VEPは連邦政府の行政執行機関によって支配されており、市民に開かれた形での監視を何ら受けていないからだ。トランプ政権が改革を決定しない限り、情報が一般に開示されることはなさそうだ。それは次の大規模サイバー攻撃が発生したときになるだろう。

 

人気の記事ランキング
  1. This is the most precise 3D map of the Milky Way ever made 史上最も詳細な天の川銀河の3Dマップ、ESAが公開
  2. Don’t panic about the latest coronavirus mutations, say drug companies 新型コロナ「変異種」を過度に恐れる必要がないこれだけの理由
  3. Don’t worry, the earth is doomed 人類を滅亡に導く、15の破壊的リスク
  4. The kitchen of the future is here, it’s just not evenly distributed 電子レンジ、真空調理器超える「キッチン・テクノロジー」の未来
マイク オルカット [Mike Orcutt]米国版 准編集者
暗号通貨とブロックチェーンを担当するMITテクノロジーレビューの准編集者です。週2回発行しているブロックチェーンに関する電子メール・ニュースレター「Chain Letter」を含め、「なぜブロックチェーン・テクノロジーが重要なのか? 」という疑問を中心に報道しています。
Innovators Under 35 Japan 2020

MITテクノロジーレビューが主催するグローバル・アワード「Innovators Under 35」が2020年、日本に上陸する。特定の分野や業界だけでなく、世界全体にとって重要かつ独創的なイノベーターを発信していく取り組みを紹介しよう。

記事一覧を見る
人気の記事ランキング
  1. This is the most precise 3D map of the Milky Way ever made 史上最も詳細な天の川銀河の3Dマップ、ESAが公開
  2. Don’t panic about the latest coronavirus mutations, say drug companies 新型コロナ「変異種」を過度に恐れる必要がないこれだけの理由
  3. Don’t worry, the earth is doomed 人類を滅亡に導く、15の破壊的リスク
  4. The kitchen of the future is here, it’s just not evenly distributed 電子レンジ、真空調理器超える「キッチン・テクノロジー」の未来
MITテクノロジーレビュー[日本版] Vol.2/Winter 2020
MITテクノロジーレビュー[日本版] Vol.2/Winter 2020SDGs Issue

今、世界中の企業や機関の技術者・研究者たちが各地で抱える社会課題を解決し、持続可能な世界の実現へ向けて取り組んでいる「SDGs(持続可能な開発目標)」。
気候変動や貧困といった地球規模の課題の解決策としての先端テクノロジーに焦点を当て、解決に挑む人々の活動や、日本企業がSDGsを経営にどう取り入れ、取り組むべきか、日本が国際社会から期待される役割について、専門家の提言を紹介します。

詳細を見る
フォローしてください重要なテクノロジーとイノベーションのニュースをSNSやメールで受け取る