by Rawpixel



Microsoftは2020年1月、Windows 10を実行する何億台ものPCに影響を与える危険な脆弱性を修正するため、セキュリティパッチを配布しました。Microsoftの報告によると、今回の脆弱性はCryptoAPIというWindowsのAPIで発見されたとのことですが、セキュリティ専門家らが特に「重要な点である」と指摘したのが、「脆弱性を報告したのがアメリカの諜報機関であるアメリカ国家安全保障局(NSA)だった」という点でした。



Microsoft patches Windows 10 after NSA finds vulnerability

https://www.cnbc.com/2020/01/14/microsoft-to-patch-windows-10-after-nsa-finds-vulnerability.html



Microsoft patches Windows 10 security flaw discovered by the NSA - The Verge

https://www.theverge.com/2020/1/14/21065563/microsoft-windows-security-flaw-nsa-patch-attribution-cryptography-update



Microsoft and NSA say a security bug affects millions of Windows 10 computers | TechCrunch

https://techcrunch.com/2020/01/14/microsoft-critical-certificates-bug/





CryptoAPIに含まれた機能の一つを使うと、開発者がソフトウェアにデジタル署名を行い、ソフトウェアが改ざんされていないことを証明できます。しかし、今回Microsoftによって発表されたCryptoAPIの脆弱性を用いた場合、ソフトウェアやファイルを含むコンテンツのデジタル署名を偽装し、危険なコンテンツを安全であるかのように見せかけることができるとのこと。



Microsoftは、「デジタル署名が信頼できるプロバイダーによるもののように見えてしまうため、ファイルが悪意のあるものであるとユーザーが知る方法はありません」と述べ、脆弱性を突くことでランサムウェアのような悪意のあるソフトウェアを脆弱なコンピューターで実行しやすくなる可能性があると指摘。カーネギーメロン大学が運営する脆弱性開示センターのCERT-CCは、今回の脆弱性に関する勧告において、「この脆弱性を悪用することにより、HTTPSまたはTLS通信の傍受や変更が可能になる場合がある」と指摘しました。



by BrianAJackson



その一方で、セキュリティ専門家らは今回の脆弱性発見に関して、別の側面からも注目しています。サイバーセキュリティ企業のTenableで上級研究エンジニアを務めるSatnam Narang氏は、「一般にこのような脆弱性の修正パッチは常に重要ですが、Microsoftに脆弱性を開示したのがNSAであるという点によって、さらに重要性が増しました」と述べました。



NSAは多額の資金を費やしてマルウェアやハッキングツールを開発していることが知られているほか、独自に発見した脆弱性を公開することなく、ゼロデイ攻撃を可能にするツールを作成していたことも判明しています。



NSAが他国のハッカーを追跡するために開発した数々のハッキングツールの存在が明らかに - GIGAZINE



by Ilya Pavlov



また、世界的に流行したランサムウェア「WannaCry」の拡散に、NSAが開発したEternalBlueという脆弱性攻撃ツールが使用されていたこともわかっており、NSAは強い非難を浴びました。



ランサムウェア「WannaCry」を拡散させた攻撃ツール「EternalBlue」は順調に拡散している - GIGAZINE



by Laurent Peignault



NSAがMicrosoftに対して発見した脆弱性を報告したという今回の事例は、「発見した脆弱性を隠し、自分たちの活動に使用する」という過去の方針から、NSAが脱却を図ったものだとみられています。元NSAのハッカーであるJake Williams氏は、「このバグは一般的なハッカーよりも政府機関にとって使いやすいバグといえます。中間者攻撃を行うための理想的な脆弱性でした」と主張し、発見した脆弱性が武器化されるのではなく、Microsoftと共有されたことを歓迎しています。



今回の脆弱性がNSAによって発見されてから、実際にMicrosoftへ通知されるまでどれほどの期間があったのかは明らかになっていませんが、MicrosoftはCNBCに対して「実際に脆弱性が悪用されたことはない」とコメントしたそうです。



政府機関が企業に対して脆弱性を報告する事例は今回が初めてではないものの、脆弱性レポートがNSAに帰属することを認めたのは今回が初めてだとのこと。セキュリティレポーターのBrian Krebs氏は今回のNSAとMicrosoftの連携について、「NSAの研究をソフトウェアベンダーや一般の人々にとって利用可能なものにする」という、新たなイニシアチブの一部だと主張しました。



Sources say this disclosure from NSA is planned to be the first of many as part of a new initiative at NSA dubbed "Turn a New Leaf," aimed at making more of the agency's vulnerability research available to major software vendors and ultimately to the public.