2019年5月25日(土)

米政府、情報収集で「ネットの脆弱性」の利用を否定

2014/4/15付
保存
共有
印刷
その他

オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に見つかった情報漏えいの脆弱性「Heartbleed」を、米当局が利用していたと報じられたことに対し、米政府は現地時間2014年4月11日、これを否定する声明を発表した。

Heartbleedが初めて公表されたのは2014年4月7日。RFC6520で規定されたTLSのHeartbeat拡張を実装した際のバグに起因するもので、攻撃者が脆弱性を抱えたOpenSSLを利用するコンピュータに対して細工したパケットを送ると、メモリー上の情報を閲覧できてしまう危険性がある。フィンランドのセキュリティー会社Codenomiconによると、暗号鍵や、ユーザー名、パスワードといった重要な情報を取得することが可能だという。

米Bloombergが2人の関係者から得た情報として、「米国家安全保障局(NSA)は少なくとも2年前からHeartbleedに気づいていたが、情報収集活動にこれを定期的に利用していた」と2014年4月11日に報じると、米国家情報長官(NID)は即座に公式ブログで「2014年4月より前にNSAなど政府当局が認識していたという報道は間違いだ。連邦政府は民間企業のサイバーセキュリティー報告書で公表されるまで知らなかった」とBloombergの報道を否定した。

米Forbes(フォーブス)は「Bloombergの報道が正しいのであれば、元米中央情報局(CIA)職員のエドワード・スノーデン容疑者の告発を超える大問題になる可能性がある」と述べている。一方米New York Times(ニューヨーク・タイムズ)は「Heartbleedの悪用によって取得できるデータはランダムであり、一度に引き出せる情報が少ないため、広範な情報収集ツールとしては役に立たない」とする複数のセキュリティー専門家の意見を伝えている。

New York Timesの別の記事では、NIDが声明の中で、政府がゼロデイ脆弱性を確認した際の公表のタイミングに言及し「見直しを行っている当局間のプロセスでは、明確な国家安全保障や法執行の必要がない限り、脆弱性を公表する方向で判断する」と述べていることに着目し、「政府はNSAが利用できる脆弱性は公表せずに伏せておく方針だ」と報じている。

[ITpro 2014年4月14日掲載]

保存
共有
印刷
その他

電子版トップ



[PR]

日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報