政府は脆弱性を秘密にしておくべきか?

2017.08.14

一般市民向けのソフトウェアで発見された脆弱性を、米国の諜報機関がどれだけ保有すべきか、あるいはどのように使用すべきかについての議論は終わりそうにありません。


しかし、Black Hat カンファレンスで同時に発表された(リンク先:英語) 2 つの研究論文は、この問題に関する政府の方針を定めるうえで、データ分析は「推論と逸話」を提供するだけでなく、より大きな影響力を持つものでなければならないとしています。


どちらの言い分も説得力があります。


一方の論文は、諜報機関が犯罪者、テロリスト、敵対的政府の通信やサイバー兵器に侵入できるようにしておくためには、脆弱性を密かにため込んでおく必要があり、安全保障上不可欠な要素だとしています。


もう一方の論文によれば、秘密は守られるとは限りません。諜報機関が保有していた脆弱性が悪意のある者によってリークされた場合、パッチを適用する前の数百万人のユーザーや重要なシステムに対する攻撃に悪用される可能性があります。これはその国に大きな損害を与えかねません。


実際、米国家安全保障局 (NSA) が所有していたと考えられる最高機密の監視ツールが、約 1 年前にハッカー集団「Shadow Brokers」によって公開されたことで、テロリスト以外に大勢のユーザーを監視していた政府に対して非難が高まりました。


コロンビア大学国際公共政策大学院でサイバー紛争とリスクを研究している上級研究員であり、Atlantic Council のシニアフェローでもある Jason Healey 氏は昨年 11 月の論文で、最初に公開された 15 件のゼロデイ脆弱性のうち、複数の脆弱性は「Cisco、Juniper、Fortinet のセキュリティ製品に含まれていたものであり、それぞれ米国の企業および重要インフラ、および世界中のさまざまなシステムの保護に広く使用されていた(リンク先:英語)」と指摘しています。


最近では、3 月に始まった WikiLeaks の「Vault 7」プロジェクトによる文書公開で、Microsoft と Apple の技術を監視に利用しようとした CIA の取り組みが暴露されました。


先日、ハーバード大学ケネディ行政大学院 科学・国際関係ベルファーセンターの研究者らが、(脆弱性の秘匿というテーマについては具体的に議論はせずに、)「諜報機関が脆弱性を公開した場合に諜報機関が被る損害と公開しなかった場合に国民が被る損害に関するデータおよび厳密な分析が必要」として論文(リンク先:英語)を発表しました。


4,300 件を超える脆弱性のデータセットを分析したところ、「(脆弱性が) 再発見される頻度は、以前よりも増えている」ことが判明しました。


さらに次のように述べています。


NSA が使用していると推測される脆弱性の数を合わせて考えると、毎年実環境で検出されるすべてのゼロデイ脆弱性の 3 分の 1 は、米国政府が秘密にしていて再発見された脆弱性がベースになっている可能性があります。


RAND Corporation (ランド研究所) による調査報告書(リンク先:英語)は、「ゼロデイ脆弱性の平均寿命に関する基準となる評価指標、一定の期間内に他者が脆弱性を発見する可能性、ゼロデイ脆弱性のエクスプロイト開発に要する時間とコスト」を特定することを目的としています。


Rand の調査によると、ゼロデイエクスプロイトとそのベースとなっている脆弱性は、平均余命が 6.9 年と長く、1.51 年しか生き残れない脆弱性はわずか 25% です。また、9.5 年以上生存する脆弱性もわずか 25% です。


今回の Black Hat プレゼンテーションでは、両グループの調査対象となった VEP (Vulnerability Equities Process: 脆弱性公平プロセス) が主なテーマの 1 つでした。VEP は、「米国政府が把握しているソフトウェアの脆弱性を公開するか、秘匿するか」を判断する際に用いられるものです。


ベルファーセンターは、VEP に関する議論を論文の中で蒸し返すつもりはなかったと述べています。しかし、ベルファーセンターと RAND の研究者が「厳密な分析」をいくつか実施したことを考えれば、少なくとも議論はすべきです。


ベルファーセンターのサイバーセキュリティプロジェクトの博士研究員であり、前述の論文の共同執筆者である Trey Herr 氏は、政府が脆弱性を使用するのは「必要」であるものの、政府のこれまでの公開と秘匿の「やり方は適切ではない」と述べています。


NSA 元長官の Michael Hayden 氏も、NSA が秘密のツールを守れないのであれば所有するべきではないと認めている、と Herr 氏は述べています。


しかし Herr 氏は Lawfare ブログへの投稿の中で、連邦議会に最近提出された PATCH (Protecting our Ability to Counter Hacking) Act(リンク先:英語) の法案によって VEP が「成文化」され、「政権が代わっても説明責任と継続性が維持される」ことを期待していると述べています。


「政府による脆弱性の公開についての有意義な議論に議会が積極的に関与するのは初めて」という点で、この法案は重要な意味があるとも述べています。


しかし Herr 氏は、公開と秘匿の間の適切なバランスが保たれたとしても、「それはソフトウェアセキュリティという巨大なパズルの小さな 1 ピースにすぎない」とも主張しています。


引用元

おすすめの記事はこちら