教えてくれたのはいいけど、ほかにもいろいろバグを知ってそう。

MIT Technology Reviewによりますと、Windows（ウィンドウズ）10とWindows Server 2016に関する重大な脆弱性を米国国家安全保障局（NSA）が発表し、Microsoft（マイクロソフト）は火曜日には修正パッチをリリースしました。

Windowsの暗号化機能に深刻な脆弱性あり

プレスリリースを公開するという諜報機関にしては珍しい方法をとったNSAですが、同局によるとWindowsの暗号化機能に致命的な脆弱性があり、｢ハッカーは暗号化されたネットワーク接続に介入し、通信相手になりすまして任意のコードを実行できる｣とのこと。つまりHTTPS接続や、ファイルやメールなどのデジタル署名などのセキュリティ機能が破られ、｢ユーザーモードとして署名されたコードが実行されてしまう｣可能性があるそうです。

また、プレスリリースによると同局は｢この脆弱性を非常に深刻と捉えている。鋭いハッカーであればこの問題をすぐに理解できるし、もし悪用されれば前述のプラットフォームは根本から無力化されるだろう｣としています。しかし同時に、同局はまだこの脆弱性が悪用された証拠はないとしており、MIT Technology Reviewによると、Microsoftも同様に脆弱性が突かれたと思われる案件は確認していないそうです。

パッチ適用を最優先に

NSAのリリースには、ネットワーク管理者のための防護策、及び脆弱性を悪用されたかどうかの確認の仕方も載っており、何よりも｢重要、または広く利用されているサービスを提供している端末にパッチを適用することを最優先｣するよう呼びかけています。また、インターネットに直接繋がっている端末や、管理権を持っているユーザーが定期的に利用する端末も優先させるように推奨しています。

サイバーセキュリティに関するブロガーであるBrian Krebs氏は、Microsoftが暗号化に関わるモジュール｢crypt32.dll｣の修正を急いでいるとの噂を月曜日に報じていました。Krebs氏の情報源によると、脆弱性を利用することで、特定のソフトウェアのビルドに関わるデジタル署名を偽造でき、アタッカーはマルウェアの仕込まれたソフトウェアを正当なソフトウェアであるとユーザーに信じさせることができるそうです。NSAのサイバーセキュリティ部門部長のAnne Neuberger氏は、Microsoftがソフトウェアの欠陥の発見で、同局の名前を公に出したのは初めてだとリポーターたちに語ったとKreb氏は報じています。

今回のバグはかなり深刻だった

Windows 10やWindows Server 2016で動作している数百万のサーバーが支配される可能性を考えると、このバグの危険性はどれだけ強調しても足りません。データベースをアプリなどに提供するMongoDBのセキュリティ主任であり、Open Crypto Audio Projectの主任でもあるKenn White氏はWiredに対し、｢私たちも現在分析していますが、事前の状態や状況次第では膨大な被害を産む可能性があった｣とコメントしています。

また、元NSA職員で、サイバーセキュリティのトレーニングや分析を行うRendition Infosecの創業者、Jake Williams氏はTech Crunchに対し、この欠陥が政府の諜報に最適なものだとし、｢端末のセキュリティをすべてバイパスできるスケルトンキーの役割になっただろう｣と発言しました。またTech Crunchによると、NSAもMicrosoftも脆弱性に関しては、政府、軍、そして産業組織などにパッチが先に配布され、火曜日に一般公開されるまで徹底的に黙秘していたそうです。

今回の公表はNSA内部の改革ではないか？

これまでのNSAなら、発見したバグは記録し、後に諜報活動やサイバー国防に利用していたのですが、今回の公表は、NSA内部での改革の一部ではないかとMIT Technology Reviewは報じています。去年末、サイバーセキュリティと海外での諜報活動の足並みを揃え、政府や産業ネットワークをサイバー攻撃から守るため、NSAはCybersecurity Directorate（サイバーセキュリティ理事会）を設立しました。

また、NSAが知っていた欠陥がリークしたことで、世界中でランサムウェアが拡散したEternalBlueスキャンダルなど、同局の評判に傷が付いていたこともあり、それを少しでも挽回する意図もあったのでしょう。Neuberger氏は

MIT Technology Reviewによると、Neuberger氏はリポーターにこう発言しています：

情報の共有を行なうことで、サイバーセキュリティのコミュニティと信頼関係を築く新しいアプローチを求めています。そのステップのひとつが、データの開示です。これまでも長い間、脆弱性の報告は行なってきましたが、NSAの名前を出すことを禁じてきました。それによって、私たちを信頼してもらうことが難しかったのです。今回の決定の理由のもうひとつは、インフラネットワークに関して重要な進言を積極的に行ない、危険性を広めるためです。そのためには、こちらが可能な限りオープンでなければダメなのだとわかっていました。

しかし、サンフランシスコの企業、Digital Shadowsの情報セキュリティ主任であるRick Holland氏はGuardian紙に警告しています。

油断は禁物です。NSAはこれからも危険なバグを集め、彼らの目標達成のために躊躇なく使うでしょう。



