KADOKAWA Technology Review
×
MITTRが選ぶ35歳未満のイノベーター「IU35 2024 Japan」発表!
11/20授賞式開催決定
ニュース
Security Experts Agree: The NSA Was Hacked

シスコ製FWのぜい弱性
米政府がバックドアに悪用

分析により、シャドウ・ブローカーが公開したハッキングツールは、本当にNSA製であることが可能性が高い。 by Jamie Condliffe2016.08.18

米国家安全保障局(NSA)がハッキングを受けたという報道は、どうやら本当らしい。

ハッカー集団「シャドウ・ブローカーズ」が米国政府の所有物だとするサイバースパイ道具近日中にオンラインオークションで競売にかけると表明している。偽物でないことを証明するためにネット上に無料公開されたソフトウェアを調べたところ、このソフトウェアは本物であり、米国家安全保障局(NSA)に帰属する可能性が高いことを示す検証結果が得られた。

シャドウ・ブローカーズによれば、今回公開されたソフトウェアはシスコシステムズやジュニパーネットワークスといった企業のファイアウォールシステムに侵入可能なツールを含む。犯行声明の数日後、シスコは自社のファイアウォールシステムに見つかった2点の脆弱性に修正を施すと緊急声明を発表。同社のファイアウォールには2013年からハッキングにさらされていた恐れがあるという。セキュリティ専門家によれば、スパイツールは旧式だが、中にはシスコにとって未知の脆弱性もあるようだ。

NSA director Michael Rogers.
米国家安全保障局(NSA)のマイケル・ロジャース長官

一方、ロシアのセキュリティ企業カスペルスキーもこのソフトウェアの解析に取り組んでいる。その結果、これまでに公開されたコードのなかにある特異な数学が使用されていることが判明した。そのことからソフトウェアはいわゆるイクエーション・グループに関連していると見ている。カスペルスキーは従来知られていなかったイクエーション・グループを昨年特定したが、その際にロイター通信が報じたところでは、イクエーション・グループの正体は米国家安全保障局(NSA)だ。昨年の解析結果で確認された同一の独自の数学が、今回公開されたコードにも見られる。

元NSA局員もウォール・ストリート・ジャーナルに証言した。シャドウ・ブローカーズが公開したコードは「正真正銘の本物」だろう。

これらの断片的情報から浮かんでくる疑問は、広範に用いられるネットワーク機器に影響を及ぼす脆弱性をNSAがなぜ何年にもわたって公表しなかったか、だ。情報機密の欠陥そのまま秘密にしておけるのはいつか、に関するホワイトハウスの政策に反する措置をNSAがとったのではないかとも考えられる。

シスコのバグはゼロデイ脆弱性だ。ソフトウェアの作者が解決策の特定と頒布にかけられる時間が0日なので、検出されることなくシステムへの侵入に利用できるため、ゼロデイは犯罪者やスパイ組織には有用だ。

NSAのようなハッキングを専門にする政府の組織は、秘密裏に脆弱性を蓄積し、作戦を内密に保つ。NSAは、ゼロデイを蓄積し、企業が自社製品を修復できないようにして、インターネットのセキュリティを弱めていると非難されることもある。

2013年にオバマ政権は全政府部局が従わなければならない極秘の新命令を作成した。対象は、ゼロデイ脆弱性を秘密にしておくのが合理的かどうかの判断についてだ。2014年に国家安全保障会議サイバーセキュリティ調整官マイケル・ダニエルがワイアードに語ったところでは、この命令によりNSAは特定した欠陥の大部分を公表しなければならなくなった。しかし、シャドウ・ブローカーズによる今回の流出事件が示唆するのはNSAがこれらの規則を破ったことだ、とコロンビア大学のジェイソン・ヒーリー研究員はいう。

無料公開されたこのソフトウェアが本物であることを示唆する証拠が示されても、依然として不明なことがある。シャドウ・ブローカーが売りに出しているソフトウェアに正確にはどのようなツールが隠されているかだ。最高値をつけた者が手に入れる秘密だ。

(関連記事:Ars TechnicaWall Street JournalWiredHackers Claim to Be Selling Secret U.S. Spy Software,” Welcome to the Malware Industrial Complex“)

人気の記事ランキング
  1. The winners of Innovators under 35 Japan 2024 have been announced MITTRが選ぶ、 日本発U35イノベーター 2024年版
  2. Kids are learning how to make their own little language models 作って学ぶ生成AIモデルの仕組み、MITが子ども向け新アプリ
  3. AI will add to the e-waste problem. Here’s what we can do about it. 30年までに最大500万トン、生成AIブームで大量の電子廃棄物
  4. This AI system makes human tutors better at teaching children math 生成AIで個別指導の質向上、教育格差に挑むスタンフォード新ツール
タグ
クレジット Yuri Gripas | AFP/Getty
ジェイミー コンドリフ [Jamie Condliffe]米国版 ニュース・解説担当副編集長
MIT Technology Reviewのニュース・解説担当副編集長。ロンドンを拠点に、日刊ニュースレター「ザ・ダウンロード」を米国版編集部がある米国ボストンが朝を迎える前に用意するのが仕事です。前職はニューサイエンティスト誌とGizmodoでした。オックスフォード大学で学んだ工学博士です。
日本発「世界を変える」U35イノベーター

MITテクノロジーレビューが20年以上にわたって開催しているグローバル・アワード「Innovators Under 35 」。2024年受賞者決定!授賞式を11/20に開催します。チケット販売中。 世界的な課題解決に取り組み、向こう数十年間の未来を形作る若きイノベーターの発掘を目的とするアワードの日本版の最新情報を随時発信中。

特集ページへ
MITTRが選んだ 世界を変える10大技術 2024年版

「ブレークスルー・テクノロジー10」は、人工知能、生物工学、気候変動、コンピューティングなどの分野における重要な技術的進歩を評価するMITテクノロジーレビューの年次企画だ。2024年に注目すべき10のテクノロジーを紹介しよう。

特集ページへ
フォローしてください重要なテクノロジーとイノベーションのニュースをSNSやメールで受け取る