Joseph Menn
[サンフランシスコ 28日 ロイター] - 米国家安全保障局(NSA)は、一般向けテクノロジー製品に、いわゆる「バックドア(裏口)」を設ける措置を今も続けているのか--この手法が米国産業及び国家安全保障の双方にダメージを及ぼすとして米連邦議会議員らは批判しているが、NSA側は取り合おうとしない。
元NSA嘱託職員のエドワード・スノーデン容疑者による暴露やロイターその他の報道によれば、NSAは長年にわたり、テクノロジー製品にNSAが特別にアクセスできるような措置を講じるよう、テクノロジー企業との合意を模索してきた。
こうしたいわゆる「バックドア」が設けられていれば、NSAその他の情報機関は、許可を得ることなく、その機器を経由する膨大な量の情報をスキャンすることができる。NSAを支持する側は、他国ではこの手法によって、テロリストによる通信の傍受も含め、必要不可欠な情報収集が容易になっていると言う。
元情報当局者3人がロイターに語ったところでは、スノーデン容疑者による情報漏洩事件の後、NSAは、情報漏洩や不正侵入の可能性を減らすため、新たなルールを定めたという。だが、上院情報委員会の民主党有力メンバーであるロン・ワイデン上院議員の側近によれば、NSAは新たなガイドラインの骨子すら頑として提供を拒否している、という。
ワイデン議員はロイターに対し、「暗号化された情報に対する秘密のバックドアは、国家安全保障と私たちの家族にとって脅威である。外国のハッカーや犯罪者たちが米国の国家安全保障を損なうような形でそれを利用するようになるのは時間の問題だ」と語った。「政府は、米国民が利用する暗号化技術に秘密のバックドアを仕込むような真似をすべきではない」
一般向け製品に対する特別なアクセスの確保に関する方針をどのように改訂したのか、NSAは語ろうとしない。NSA当局者によれば、NSAはソフトウェアの欠陥に関する警告を提供するなどの措置を通じて、民間セクターとの信頼回復を進めてきた、という。
NSAが1年前に設置したサイバーセキュリティ総局を率いるアン・ニューバーガー氏は、「ベストプラクティスを特定し判断するプロセスをたえず評価することは、NSAでは当たり前のことだ」と話す。「個別のプロセスや手続は公開するものではない」
情報機関の元幹部3人がロイターに語ったところでは、NSAでは現在、バックドアの設置を求める前に、想定しうる悪影響を考慮し、バックドアが敵対勢力に発見され悪用される場合には何らかの警告が発せられるよう準備しておくことが必須とされている。
こうした秘密のアクセス手段の追求が続く一方で、米国・英国その他の政府は、テクノロジー企業に対し、政府が暗号化を解除した情報を閲覧できるよう求める立法措置を模索している。強力な暗号化を擁護する陣営は、一般向け製品にバックドアを仕込もうとするNSAの試みがたびたび失敗していることからも、こうした義務付けに伴う危険性は明らかだと主張している。
批判派はNSAの手法について、敵対勢力に格好の目標を与えてしまい、米国のテクノロジーに対する信頼を損なうし、また、スパイ活動に利用される可能性があるという理由で中国製テクノロジーを拒否するよう同盟国に呼びかけても、米国製品も同じ目的で転用される可能性があれば説得力が失われる、と主張する。
米国の情報機関が考案したバックドアが海外の敵対勢力に悪用された例が、過去に少なくとも1回ある。ジュニパーネットワークス (N:JNPR)は2015年、同社の機器が過去に不正侵入を受けていたことを明らかにしている。ロイターではこれまで報道されていない7月の連邦議会議員向け文書を閲覧したが、そのなかでジュニパーは、NSAが最初に開発した仕組みが某国によって改変されたと述べている。
ワイデン議員の広報担当者キース・チュー氏によれば、NSAは2018年に同議員の事務所に対し、ジュニパーの事件などに関する報告書から「教訓を得た」と伝えたという。
チュー氏はロイターに、「今は、NSAはこの文書は所在不明だと主張している」と語った。
NSAとジュニパーはこの件に関してはコメントを控えている。
<不正侵入を受けたジュニパー>
ロイターをはじめメディア各社が伝えているように、NSAは機器内へ侵入する手段をあれこれ試みている。企業にバックドアを仕込むよう誘導する商業契約を結ぶこともあれば、場合によっては規格を都合良く改正することもある。つまり、NSAの専門家による侵入を許すようなソフトウェアを企業が知らず知らずのうちに採用してしまうようなプロセスを設定するわけだ。
こういった試みは、スノーデン容疑者がそうした手法に言及する文書をリークした2013年以降、広く関心を集めるようになった。
セキュリティ企業の先駆者であるRSAなど、バックドア経由のアクセスを認める契約を結んだことを後に暴露されたテクノロジー企業は、信用と顧客を失う羽目になった。また、NSAによる監視を懸念する顧客の不安が高まるにつれ、海外での取引を失った米国企業もある。
こうした状況を受けて、ホワイトハウスでは政策の見直しを余儀なくされている。
ホワイトハウスで以前、サイバーセキュリティ調整官を務めていたマイケル・ダニエル氏は、「『教訓を得る』プロセスといっても多種多様だ」と言う。ダニエル氏は、スノーデン事件の際、バラク・オバマ大統領(当時)の顧問を務めていた。オバマ大統領が任命した特別委員会は、政府がテクノロジー製品を「劣化」「弱体化」させる、あるいは規格をゆがめることがあってはならないと勧告している。
ダニエル氏など複数の関係者によれば、ホワイトハウスはこの勧告を公式には採用せず、代わりに、新たに発見されたソフトウェアの欠陥を攻撃的なサイバー作戦に利用すべきか、それとも欠陥を修正して守りを固めるかを検討するプロセスを強化することにしたという。
だが、当局による特別なアクセスを実現するため政府が密かに締結している契約については、まだ公式の見直しの対象になっていない。
「NSAは幅広い企業と契約を締結し協力を得ていたが、その情報は頑なに守られている」と、情報分野を専門とするある弁護士は言う。
NSAの手法につきまとう深刻なリスクを何よりも顕著に示す例が、「Dual_EC」(Dual Elliptic Curve)と呼ばれる暗号化システムのコンポーネントである。NSAは商務省と協力してこの技術を世界標準として認めさせたが、その後複数の暗号研究者により、NSAがDual_ECを利用して暗号化されたデータにアクセスできることが明らかになった。
広く利用されているウェブ・セキュリティ・システムにDual_ECを組み込むため、RSAが1000万ドル(約10億4000万円)の契約を締結した件は、2013年にロイターが報じている。RSAは、公式には「故意にバックドアを仕込もうとしたことはない」と述べたものの、同社の評判には傷がつき、最終的に売却の憂き目に遭った。
2年後、ジュニパーネットワークスも、やはりDual_ECをめぐって煮え湯を飲まされることになる。インターネットで用いられるスイッチ機器を製造するジュニパーは、2015年末、ファイアウォール製品の一部から悪質なコードが発見されたと発表した。その後研究者により、ハッカーがジュニパー版のDual_ECを改変し、ファイアウォールを独自のスパイツールへと作り変えていたことが突き止められる。
ジュニパーは事件について多くを語ろうとしない。しかし同社は2016年、セキュリティ研究者のアンディ・アイザクソン氏に、「顧客の要求」の一環としてDual_ECを組み込んだことを認めていた。ロイターが閲覧した当時の未公開メッセージから明らかになった。アイザクソン氏をはじめとする研究者らは、この「顧客」とは米連邦機関であると考えている。他のケースでDual_ECに執着していたことが知られているのは米国だけだからだ。
ジュニパーは「顧客」が何者かを明かしたことはなく、この記事に関するコメントも拒絶している。
同様に、ジュニパーはハッカーの正体も特定していない。だが、この件に詳しい2人の人物がロイターに語ったところでは、捜査当局は背後に中国政府がいるという結論に達したという。その証拠についての詳細は明らかにされていない。
中国政府は以前からあらゆる種類のハッキング行為への関与を否定している。中国外務省はロイターに対する声明のなかで、「(サイバースペースは)高度にバーチャルな空間であり、追跡は困難である。完全かつ決定的な証拠なしにハッカーによる攻撃を告発するのは極めて無責任な行為だ。一方で我が国は、このバックドア技術を開発したのは米国の情報機関、すなわち米国家安全保障局であるという報道に注目している」と述べている。
<協力に慎重なテクノロジー企業>
ワイデン議員は引き続き、ジュニパーで厳密には何が起きたのか、そして暗号化戦争が激化してからどのような変化が起きたのかを解明しようとしている。
これまで報道されていなかったが、ジュニパーは今年7月、ワイデン議員をはじめとする連邦議会メンバーからの質問に回答するなかで、同社製ファイアウォールのコード改変の背後に未確認の某国家の関与があると考えられるが、そもそもDual_ECを組み込んだ理由について調査したことはないと述べている。
ジュニパーは7月の書簡のなかで「暗号化されたコンテンツへの政府機関によるアクセスを認めることの是非やその方法について、激しい政策論争があることは承知している」と述べている。「弊社は現在・将来とも自社製品にバックドアを仕込むことはないし、また、それを義務づけるようなあらゆる法案に反対する」
NSAの元幹部はロイターに対し、テクノロジー企業の多くは、政府にひそかに協力することに依然として慎重であると指摘する。ただしこの人物は、NSAによる画策は続くだろうと言う。諦めてしまうには、特別なアクセスはあまりにも魅力的すぎるから、と。
(翻訳:エァクレーレン)