アングル:攻撃は米情報機関の失態か、ハッキング技術漏えいで
[ワシントン 15日 ロイター] - 少なくとも150カ国・地域に被害が広がっている前例のない大規模なサイバー攻撃を巡り、米国家安全保障局(NSA)は新たな批判を浴びている。
今回の攻撃は、NSA自身が使用するハッキングツール構築のために利用した、マイクロソフトの基本ソフト(OS)ウィンドウズの欠陥を突いて行われた可能性がある。そうしたハッキングツールなどが結局、謎のハッカー集団「シャドー・ブローカーズ」の手に渡り、インターネット上に放出されることになった。
マイクロソフトのブラッド・スミス社長は14日、NSAと中央情報局(CIA)のハッキングツールが最近漏えいしたことを挙げ、政府がしばしば機密保持できないソフトウエアの欠陥情報を米国政府が「ため込んでいる」と厳しく批判した。
「政府の(ハッキング)技術は繰り返しインターネット上に漏出しており、損害の拡大を招いている」とスミス社長はブログに投稿。「米軍が(巡航ミサイルの)トマホークを一部盗まれるようなものだ」
アルファベット傘下のグーグル
だが、一部の業界幹部らによると、マイクロソフトの声明は、サイバー攻撃能力を保持するためにはセキュリティーを危うくしてもかまわないと政府が考えているという、シリコンバレーで広く共有されている見方を反映している。
NSAはコメント要請に回答しなかった。
NSAや他の情報機関は通常、見つけたソフトウエアのぜい弱性情報を公表することと、諜報活動やサイバー戦争のためそれらを秘密にすることのバランスを取るよう努めている。
複数の政府高官は15日、ソフトウエアのぜい弱性情報に対する政府の扱いを擁護したものの、今回の大規模サイバー攻撃で使われた身代金を要求するランサムウエア「WannaCry」とNSAとのつながりについては確認しなかった。
「米国は、恐らく他のどの国よりも、認識された欠陥情報をどう扱うかという手続きについて、極めて慎重だ」と、ボサート大統領補佐官(安全保障担当)は15日、定例会見でこう述べた。
NSAのツールキットからシャドー・ブローカーズが放出したとみられる他のツールも、犯罪者に別の目的で使われたり、闇取引されたりしていると、研究者は指摘する。ただし、それらはWannaCryよりも被害が小さいとみられる。シャドー・ブローカーズの背後に誰がいるのかは分かっていない。
<「問題になりかねないと分かっていた」>
セキュリティー専門家によると、NSAは、盗難が発覚し、ツールがネット上に放出される1カ月前のある時点で、ぜい弱性についてマイクロソフトに通知することで責任ある公表を行おうとしていた。
今回の大規模サイバー攻撃については、システムの修正を行わないユーザーやシャドー・ブローカーズの方が、NSAよりも直接的な責任があるとの見方を専門家は示している。
マイクロソフトが3月に修正プログラムを配布してまもなく、国土安全保障省は同プログラムをインストールする重要性を企業に注意喚起する積極的なキャンペーンを開始したと、今回の攻撃に対応する当局者は語った。
「これが問題になりかねないと、われわれには分かっていた」と、この当局者はロイターに話した。
「NSAは恥じるべきだ。損害を与えるような漏えいを数多く招いている」。そう語るのは、元当局者で、現在は米戦略国際問題研究所(CSIS)のサイバーセキュリティー専門家ジェームズ・ルイス氏。
その一方で、同氏は「マイクロソフトは20世紀は終わったと認める必要がある。以前にも増して敵対的な環境に置かれている。おぼつかないNSAではこれ以上、安全性は得られないだろう」と述べた。
オバマ前大統領の下、政府はぜい弱性情報を共有すべきか、それとも秘密にすべきかを決定するため、省庁間の検討プロセスを構築した。
エリートで構成されるNSAのハッキング集団にかつて所属していたホワイトハウスのサイバーセキュリティー・コーディネーター、ロブ・ジョイス氏は4月、トランプ政権が同プロセスを「最適化」する方法を検討中だとロイターに語ったが、それ以上は明らかにしなかった。
この件に関するコメント要請にホワイトハウスは応じていない。事情に詳しい関係筋によると、会議は今でも開催されているが、その頻度はオバマ政権下よりも減っているという。
議会では、共和党のロン・ジョンソン上院議員と民主党のブライアン・シャッツ上院議員が、検討プロセスを体系化する法案に取り組んでいる。
「われわれはターニングポイントにある。非常に長い期間にわたり、ぜい弱性情報を保持できると政府が考えることは難しい」と、オバマ政権下の国家安全保障会議でITセキュリティー問題を担当したアリ・シュワルツ氏は語った。
(Dustin Volz記者 翻訳:伊藤典子 編集:下郡美紀)
- 1/1