ウィキリークス(WikiLeaks)が米国中央情報局(CIA)のデータを公表した直後、ジュリアン・アサンジは寛大にも、テック企業がソフトウェアのセキュリティを強化するのに手を貸すと申し出たが、そうはうまくいかないだろう。
アサンジが設立したウィキリークスは先週、CIAの「史上最大規模の機密文書の発表」の一部として何千ものファイルを公表した。現職または以前の政府関係者によると、ファイルは本物のようだという。MIT Technology Reviewではすでに、公表されたファイルに記載のあるCIAが使ったとされるサイバー兵器は技術的な観点からは特に目新しくないと指摘済みだ。
ただし、製品に脆弱(ぜいじゃく)性を抱えるテック企業にとっては悩みの種だ。たとえばサムスンのスマートTVは、確実にスパイ行為の拠点(spy posts)に転用できる。また、アップルのiOSやグーグルのアンドロイドOSを使ったスマホは、標的型攻撃(targeted exploits)の脅威にさらされており、CIAが部分的に遠隔操作できる可能性がある。ウィキリークスによれば、攻撃用ソースコードも入手しているが、まだ公開はしていないという。
アサンジは正義の騎士として支援を申し出ている。アサンジは3月9日の記者会見で「メーカー(IT企業)数社と話し合い、問題に対処するために何が最善策なのかを検討した後、私たちは企業と連携することに決めました。私たちが持っている、より詳細な技術情報に企業が独占的にアクセスできるようにして、解決策が開発され、広まるようにすることで、人々が安心できることを目指します」と述べた。
テック業界は、アサンジがあらゆる犠牲をいとわず急進的な透明性を求めているとしても、その優しさと親切な申し出に感謝するべきかもしれない。だが、このアサンジの約束にはいくつか問題もある。
まず、ウィキリークスがファイルを公開する前に、CIAのハッキング技術の詳細をなぜテック企業に知らせなかったのかがわからない。たとえばセキュリティの研究者は一般的に、脆弱性を公表する前に企業に警告する。こうすることで、ニュースとして発表される前に、企業は問題を解決する時間を得る。ウィキリークスの弁解によると、ともかくソースコードを公開しなかっただけでも、以前の「まっさきに公表して、あとで心配する」手法よりは改善されているという。
次に、現時点で公開されたファイルに掲載されている脆弱(ぜいじゃく)性の多くはすでに古く、修正済みだ。アップルによると、欠陥の大半はすでに発見されており、iOSの最新バージョンでは修正されているという。グーグルによると、アンドロイドの最新バージョンを使うユーザーの大半は、ハッキングを心配する必要はないという。
テック企業がアサンジの申し出に応じない可能性もある。フィナンシャル・タイムズ紙(ペイウォール)の記事によれば、テック企業数社の関係者は、ウィキリークスが関係企業限定で開示予定のファイルを政府の許可なしに閲覧したり、独自に対処したりするのは「法的に危険」かもしれないと判断しているという。したがって、たとえウィキリークスとの提携が有用だとしても、アサンジの約束は実質的には役に立たない可能性がある。
そしてもちろん、メディアの事情に通じたアサンジの約束は中味のないこけおどしの可能性もある。フィナンシャル・タイムズ紙によると、アサンジはこの機会を利用して自分の悪評を正すために、シリコンバレーと連邦政府機関の危険な関係のど真ん中に割って入るかもしれないというのだ。一方、セキュリティ企業レンディション・インフォセックの創業者ジェイク・ウィリアムズはもっと率直だ。ワイアード誌の記事で、アサンジの約束はすべて「大げさに言っているだけに聞こえます」と述べた。
ウィキリークスは今のところ、保持しているファイル全体のごく一部を公開しただけだといっており、状況は変わりうる。未公開分の資料がどれほど危険なのかはわからない。しかし今のところ、テック企業はアサンジの支援なしで切り抜けようとしているようだ。
(関連記事:Reuters, Wired, Financial Times (paywall), “今回のウィキリークスの暴露で一番得をするは誰か?,” “Transparency and Secrets”)