KADOKAWA Technology Review
×
12/16開催 「再考ゲーミフィケーション」イベント参加受付中!
Security Experts Agree: The NSA Was Hacked

シスコ製FWのぜい弱性
米政府がバックドアに悪用

分析により、シャドウ・ブローカーが公開したハッキングツールは、本当にNSA製であることが可能性が高い。 by Jamie Condliffe2016.08.18

米国家安全保障局(NSA)がハッキングを受けたという報道は、どうやら本当らしい。

ハッカー集団「シャドウ・ブローカーズ」が米国政府の所有物だとするサイバースパイ道具近日中にオンラインオークションで競売にかけると表明している。偽物でないことを証明するためにネット上に無料公開されたソフトウェアを調べたところ、このソフトウェアは本物であり、米国家安全保障局(NSA)に帰属する可能性が高いことを示す検証結果が得られた。

シャドウ・ブローカーズによれば、今回公開されたソフトウェアはシスコシステムズやジュニパーネットワークスといった企業のファイアウォールシステムに侵入可能なツールを含む。犯行声明の数日後、シスコは自社のファイアウォールシステムに見つかった2点の脆弱性に修正を施すと緊急声明を発表。同社のファイアウォールには2013年からハッキングにさらされていた恐れがあるという。セキュリティ専門家によれば、スパイツールは旧式だが、中にはシスコにとって未知の脆弱性もあるようだ。

NSA director Michael Rogers.
米国家安全保障局(NSA)のマイケル・ロジャース長官

一方、ロシアのセキュリティ企業カスペルスキーもこのソフトウェアの解析に取り組んでいる。その結果、これまでに公開されたコードのなかにある特異な数学が使用されていることが判明した。そのことからソフトウェアはいわゆるイクエーション・グループに関連していると見ている。カスペルスキーは従来知られていなかったイクエーション・グループを昨年特定したが、その際にロイター通信が報じたところでは、イクエーション・グループの正体は米国家安全保障局(NSA)だ。昨年の解析結果で確認された同一の独自の数学が、今回公開されたコードにも見られる。

元NSA局員もウォール・ストリート・ジャーナルに証言した。シャドウ・ブローカーズが公開したコードは「正真正銘の本物」だろう。

これらの断片的情報から浮かんでくる疑問は、広範に用いられるネットワーク機器に影響を及ぼす脆弱性をNSAがなぜ何年にもわたって公表しなかったか、だ。情報機密の欠陥そのまま秘密にしておけるのはいつか、に関するホワイトハウスの政策に反する措置をNSAがとったのではないかとも考えられる。

シスコのバグはゼロデイ脆弱性だ。ソフトウェアの作者が解決策の特定と頒布にかけられる時間が0日なので、検出されることなくシステムへの侵入に利用できるため、ゼロデイは犯罪者やスパイ組織には有用だ。

NSAのようなハッキングを専門にする政府の組織は、秘密裏に脆弱性を蓄積し、作戦を内密に保つ。NSAは、ゼロデイを蓄積し、企業が自社製品を修復できないようにして、インターネットのセキュリティを弱めていると非難されることもある。

2013年にオバマ政権は全政府部局が従わなければならない極秘の新命令を作成した。対象は、ゼロデイ脆弱性を秘密にしておくのが合理的かどうかの判断についてだ。2014年に国家安全保障会議サイバーセキュリティ調整官マイケル・ダニエルがワイアードに語ったところでは、この命令によりNSAは特定した欠陥の大部分を公表しなければならなくなった。しかし、シャドウ・ブローカーズによる今回の流出事件が示唆するのはNSAがこれらの規則を破ったことだ、とコロンビア大学のジェイソン・ヒーリー研究員はいう。

無料公開されたこのソフトウェアが本物であることを示唆する証拠が示されても、依然として不明なことがある。シャドウ・ブローカーが売りに出しているソフトウェアに正確にはどのようなツールが隠されているかだ。最高値をつけた者が手に入れる秘密だ。

(関連記事:Ars TechnicaWall Street JournalWiredHackers Claim to Be Selling Secret U.S. Spy Software,” Welcome to the Malware Industrial Complex“)

人気の記事ランキング
  1. 3 things that didn’t make the 10 Breakthrough Technologies of 2025 list 2025年版「世界を変える10大技術」から漏れた候補3つ
  2. OpenAI’s new defense contract completes its military pivot オープンAIが防衛進出、「軍事利用禁止」から一転
ジェイミー コンドリフ [Jamie Condliffe]米国版 ニュース・解説担当副編集長
MIT Technology Reviewのニュース・解説担当副編集長。ロンドンを拠点に、日刊ニュースレター「ザ・ダウンロード」を米国版編集部がある米国ボストンが朝を迎える前に用意するのが仕事です。前職はニューサイエンティスト誌とGizmodoでした。オックスフォード大学で学んだ工学博士です。
▼Promotion 再考 ゲーミフィケーション
日本発「世界を変える」U35イノベーター

MITテクノロジーレビューが20年以上にわたって開催しているグローバル・アワード「Innovators Under 35 」。2024年受賞者決定!授賞式を11/20に開催します。チケット販売中。 世界的な課題解決に取り組み、向こう数十年間の未来を形作る若きイノベーターの発掘を目的とするアワードの日本版の最新情報を随時発信中。

特集ページへ
MITTRが選んだ 世界を変える10大技術 2024年版

「ブレークスルー・テクノロジー10」は、人工知能、生物工学、気候変動、コンピューティングなどの分野における重要な技術的進歩を評価するMITテクノロジーレビューの年次企画だ。2024年に注目すべき10のテクノロジーを紹介しよう。

特集ページへ
フォローしてください重要なテクノロジーとイノベーションのニュースをSNSやメールで受け取る