のNSAインターネットセキュリティのバグについて知っていたハートブリード匿名の情報筋によると、少なくとも2年間は定期的に情報収集に使用していたブルームバーグに語った。
もしこの報告が真実なら――ホワイトハウスもNSAもそうではないと言っているが(下記参照)――Heartbleedは一般に公開されているバグであるため、NSAは何十万ものWebサイトからパスワードやプライベートな通信などの情報を収集していた可能性がある。 - ソース暗号化ソフトウェア OpenSSL。ユーザーのコンピュータから数十万の Web サイトに流れるデータを保護するために使用されます。Gメールそしてフェイスブック。推定によると、インターネット上のすべてのサイトのほぼ 3 分の 2 が OpenSSL を使用しているため、このバグが発生する可能性があります。最も危険なものの一つインターネットはこれまでに見たことのないものであり、NSA が何百万人ものユーザーに関する情報にアクセスすることを可能にする可能性があります。
関連項目:
ブルームバーグの報告書が公開されてからおよそ2時間後、NSAとホワイトハウスはマッシャブルに送られた声明の中で疑惑を否定した。
「NSAは、民間部門のサイバーセキュリティ報告書で公表されるまで、最近特定されたOpenSSLの脆弱性、いわゆるHeartbleed脆弱性を認識していなかった」とNSAの広報担当者はMashableへの声明で述べた。 「そうでないと言う報道は間違いです。」
ホワイトハウス国家安全保障会議報道官のケイトリン・ヘイデン氏も、NSAも他の連邦機関もHeartbleedバグについては知らなかったと述べた。
「情報コミュニティを含む連邦政府が先週より前にこの脆弱性を発見していたら、OpenSSLを担当するコミュニティに公開されていただろう」とヘイデン氏は声明で述べた。
このバグについて誰にも警告しなかったことで、NSA はバグを発見した場合に限り、世界中の他の諜報機関が Heartbleed を悪用できるよう扉を開いたままにすることができたでしょう。この暴露は、米国のサイバーセキュリティを保護し防御するという NSA の中核的使命の 1 つとも矛盾しているように思えます。
大手インターネット企業のセキュリティチームの従業員は、「ハートブリードの規模を考慮すると、この脆弱性を修正するのではなく悪用するという決定は、NSAが米国のネットワークを守っているというあらゆる主張を嘲笑することになる」と述べた。名前を付けてMashableに伝えます。
Mashableは水曜日、NSAの広報担当者に対し、Heartbleedについて知っていたか、あるいはこのバグについてコメントできるかどうかを尋ねた。 「DHS(国土安全保障省)の判断に従う」と報道官は答えた。
国土安全保障省にも連絡を取りましたが、まだ返答はありません。さらなる情報が得られ次第、このストーリーを更新し続けます。
この暴露は安全保障と市民的自由の世界に衝撃を与えた。
「全く、弁解の余地のない恥ずべきことだ」ツイートしたケビン・バンクストン、ニュー・アメリカ財団政策ディレクター。 「極悪非道の極みだよ、みんな。」
セキュリティ企業CloudflareのCEO、マシュー・プリンス氏はこう語る。ツイートした「今日のテクノロジー企業として、自分たちの政府と戦争していると感じないようにするのは難しい」と述べた。
怒りにもかかわらず、この暴露は多くの人にとって完全な驚きではありません。過去数日間にわたり、NSA が SSL を突破するために Heartbleed を使用したのではないかとすでに推測している人もいます。エドワード・スノーデンによってリークされたスパイ機関が何年にもわたってそれを突破しようとしていたことを明らかにした。
ペンシルバニア大学の暗号学者でコンピュータセキュリティ教授のマット・ブレイズ氏は、「NSAが他の人々よりもずっと前にこのことを発見していたとしても、まったく驚かない」と述べた。ワイヤードに語った。 「これは確かにNSAにとって非常に有用な兵器であると思われるでしょう。」
更新、午後 4 時 48 分: この記事は、ブルームバーグの報道に反論する NSA の声明を含めて更新されました。
[wp_scm_comment]
ボーナス: Heartbleed 暗号化バグとは何ですか?