Lamiyi

ブルームバーグの報道によると、NSAはHeartbleedというセキュリティ脆弱性を認識しており、少なくとも2年間にわたって悪用していたという。事情に詳しい2人の関係者は、NSAに対し、この脆弱性は重要な情報収集に定期的に利用されていたと語った。

Heartbleedバグにより、脆弱なバージョンのOpenSSLソフトウェアで保護されているシステムのメモリを、インターネット上の誰でも読み取ることができるようになります。これにより、サービスプロバイダーの識別やトラフィックの暗号化に使用される秘密鍵、ユーザーの名前とパスワード、そして実際のコンテンツが侵害されます。これにより、攻撃者は通信を盗聴し、サービスやユーザーから直接データを盗み出し、サービスやユーザーになりすますことが可能になります。

NSAがこのバグを秘密にするという決定は、何百万人ものユーザーを危険にさらした。「これは、防衛が最優先だというNSAの発言に反する」と、アトランティック・カウンシルのサイバー・ステートクラフト・イニシアチブのディレクターで元空軍サイバー将校のジェイソン・ヒーリー氏は述べた。「NSAは、この件でコンピュータセキュリティコミュニティから徹底的に叩きのめされるだろう。」

Appleは最近、iOS、OS X、そして「主要なWebベースサービス」は「Heartbleed」の影響を受けていないという声明を発表しました。詳細はこちらをご覧ください。

NSAの広報担当者、ヴァニー・ヴァインズ氏は、同機関がこのバグを認識していたか、あるいは使用していたかについてコメントを控えた。

続きを読む