米国家安全保障局(NSA)、実は数年前からHeartbleedを諜報活動に利用していた

    米国家安全保障局(NSA)、実は数年前からHeartbleedを諜報活動に利用していた 1

    やっぱりというか、なんというか。

    インターネット上のウェブサイトの実に3分の2が影響を受けたとされるネット史上最大級のセキュリティホールHeartbleed。このHearbleedの脆弱性を米国防総省の諜報機関である国家安全保障局(NSA)が以前から知っていたのではないかという憶測がここ数日飛んでいましたが、匿名の情報ソースがブルームバーグに語ったところによると、NSAはこのセキュリティホールの存在を知っていただけなく、機密情報収集に利用していたようです。

    「まあ…そうだろうね」という反応のほうが多いかもしれません。NSAはこれまでにもさまざまな方法を駆使して情報収集を行っていましたから。Facebookサーバーのふりをしてみたり、インターネットに未接続のコンピュータを監視するために特殊な電波を使うなど、手段を選ばずという感じでした。ちなみにNSAはTwitterでこの報道を否定しており、米国家安全保障会議(NSC)もGoogleドキュメントで否定しています(なぜ目立たないGoogleドキュメントを使用したのかは不明)。またこのニュースがオバマ大統領によるアメリカの監視活動の改革にどのような影響があるかは定かではありません。

    Heartbleedは、世界中で無数のウェブサイトやウェブサービスが使用しているOpenSSLというセキュリティプロトコルのバグです。原因は単純なコードのミスで、それゆえに何年も気づかれないままになっていました(NSA以外の人には、ということになりますが)。 

    ブルームバーグによると、NSAが利用していた脆弱性はHeartbleedだけではないようです。

    情報筋によると、現在NSAは何千もの「脆弱性のリスト」を手にしており、それらを利用して世界で最も機密性の高いコンピュータの一部を突破することが可能とのこと。諜報機関の幹部たちは、こうした脆弱性の利用が禁止されるならば、米国がテロリストの脅威を特定したり、敵国の意図を理解する能力は大幅に減少するであろうと語っている。

    それにしても、こうしたニュースには腹を立てずにいられません。国家の安全の名のもとに機密情報を収集するのがNSAの仕事とはいえ、国民が脅威にさらされていた(そして依然としてさらされている可能性がある)のを、政府機関が見て見ぬふりをしていたとは…。さまざまな疑念を招いても当然でしょう。NSAが誰にも言わずにHeartbleedの脆弱性を利用していた間、他の悪徳ハッカーもその弱みにつけこむことができていたわけですから。

    さて、どうするアメリカ? NSAがインターネットのセキュリティホールを利用するために、他の悪徳ハッカーたちが同じセキュリティホールを悪用するかもしれない可能性に目をつぶるのか? それとも差し迫ったテロリズムの脅威に対峙するのか? ここまで両極端にならずとも、もうちょっとバランスのとれた落としどころがあると思うのだけど。

    Source: Bloomberg

    Adam Clark Estes - Gizmodo US [原文

    (mana yamaguchi)