NSA が (事実上) 行方不明になったのはなぜですか?

皆さん、こんにちは。これは2020年最後のニュースレターです。これを読んで、皆さんの一年が少しでも楽になったことを願っています。プレーンテキストは2021年に皆さんの受信箱に戻ってきます。そして、もしあなたがサンタさんなら、煙突からの入り口は忘れて、プレゼントを裏庭に置いてください。個人的な恨みはありません。

プレーンビュー

今月初め、米国サイバーコマンド司令官、国家安全保障局長官、そして中央安全保障局長官（いずれもポール・ナカソネ氏）から、ホイットフィールド・ディフィー氏の暗号名誉の殿堂入り式典への招待状を受け取り、大変嬉しく思いました。公開鍵暗号の共同発明者であるディフィー氏については、拙著『暗号』で取り上げました。他の4人の受賞者の中には、歴史家のデイビッド・カーン氏も含まれており、彼の著書『暗号解読者』はこの分野の決定的な歴史書となっています。ですから、今週のバーチャル式典を楽しみにしていました。

しかし、提供されたWebexリンクからログインしようとしたところ、「待合室」ページが表示され、会議はまだ始まっていないと表示された。まあ、少し遅れているだけだ。数分経っても何も起こらない。ログオフしてログインし直したが、結局同じ地獄をくぐり抜けた。指定された時間から1時間経ってようやく、ようやく会議の案内が届いた。私たちは5人いたが、皆同じ経験をしていた（ディフィー氏を殿堂入り推薦した人も）。ようやく、代理店の担当者からチャットで式典は終わったと連絡があった。私たちは式典に全く出席できず、「インターネット接続の問題」が原因だったという。

政府のトップ情報技術機関が Webex を理解できなかったのでしょうか?

確かに、このような不具合はしょっちゅう起きる。しかし、私はどうしても、このミスを、はるかに深刻な失態、つまり今週初めに報じられた恐ろしいセキュリティ侵害と結びつけずにはいられなかった。SolarWindsという会社のソフトウェア更新システムをハッキングした侵入者（おそらくロシア人）は、商務省、国土安全保障省、財務省といった政府機関、そしておそらくは私たちがまだ把握していない他の機関の機密システムに、非常に深いところまでアクセスしたようだ。これは現在も進行中の攻撃であり、もし犯人が機密を盗むだけでなく、システムの破壊行為に手を染めていたら、事態はさらに悪化していた可能性があった。まさにこのような侵入から米国のシステムを守るのは、NSAと米国サイバーコマンドの責務である。

こうした侵入を防ぐのは容易ではないが、2016年の選挙への干渉を大統領が非難しないことでロシアのような国家敵対者にゴーサインを出している場合はさらに困難だ。しかし、2015年に私たちは警鐘を鳴らされた。人事管理局の壊滅的なデータ侵害で、ハッカー（おそらく中国の国家機関）がセキュリティクリアランスを審査されたすべての人の個人的な秘密などにアクセスすることができたのだ。その後、NSAやその他のセキュリティ機関には、明確な任務が課された。しかし、今週のニュースは、それが実現していないことを示した。NSAの任務の性質上、私たちが知らないうちに攻撃面でも防御面でも目覚ましい成功を収めてきた可能性は十分にあるのは事実だ。しかし、失敗がこれほど大きいと、何かがおかしい。そして、侵害を発見したのは政府ではなく、同じく攻撃を受けた民間企業、FireEyeだったのだ。

私が『Crypto』を執筆していた頃、NSAはある種の敵対者でした。暗号技術そのものを秘密にしようとし、増大するオンライン人口の保護を否定していたのです。それでも、私の情報筋はNSAの専門性と能力を認めていました。NSAはセキュリティの最高水準と考えられていました。しかし、OPMハッキング事件、スノーデンの暴露（一体どうやってあいつにあれだけの資料へのアクセスを許したのか？）、そして今回のSolarWindsの失態を経て、私たちは考え直す必要があるのです。

45年前、ホイットフィールド・ディフィーと共同研究者のマーティン・ヘルマンは、長年にわたるNSAの秘密主義体制を破り、暗号技術における画期的な進歩を成し遂げました。受賞者の一人であるデイビッド・カーンは、この進歩をルネッサンス以来、この分野における最も革新的な概念と称しました。NSAが先週、この功績を称え、「ディフィーは多くの点でNSAファミリーの一員です」と皮肉を込めて宣言したことは、NSAのプロ意識の高さを示すものです。しかし、この出来事が、我が国の歴史上最も恥ずべきセキュリティ侵害の一つが起きたまさにそのさなかに起こったとは、実に残念です。

ところで、NSA に教えておきたい秘密があります。Webex はそれほど難しくないのです!

追記！この記事が掲載された日にNSAから連絡がありました。ロシアがどのようにして政府システムに侵入したかについては、NSAは何も付け加えませんでした。しかし、Webexについては理解しているとのことで、この問題は調査済みです。どうやら、私と他の数人がオンライン式典に参加できなかったのは、イベントに参加できるリンクではなく、テスト用のリンクを受け取っていたためだったようです。誰かが私たちの何人かがバーチャル待合室にいることに気づいた後、NSAは私たちを会議に参加させるための措置を講じました。しかし、その時には式典は終わっていました。NSAが平文を読めるのは嬉しいですね！

タイムトラベル

2013年後半、私はNSA本部を訪問しました。これは1990年代に著書を執筆していた際に要請したものの叶わなかったことです。2014年1月の特集記事で、スノーデンの暴露がどのような意味を持つのかを議論するためでした。この訪問について、私は以下の記事も書いています。

ボルチモア・ワシントン・パークウェイを車で走り、数え切れないほどのドライバーがゾクゾクしながら通り過ぎてきた出口を降りた。2つのゲートハウスでチェックを受け、指定された駐車スペースを見つけた。そして、スノーデンの新たなリークが明らかになるほぼすべての記事にその写真が掲載されているガラス張りの巨大な建物に入った。

おそらくCIAの執拗な隠蔽工作に相応しいのだろうが、エントランスホールは、例えば CIAの象徴的な大理石のロビーのような壮麗さはない。ラングレーに来ると、まるで映画のセットにいるような気分になる。ここは陪審員のセキュリティチェックを受けるようなものだった。付き添いの人に会って、受付を済ませ、バッジを受け取った。そして、もちろん、レコーダーのシリアル番号も確認された。

しかし、中に入ると、その光景はより映画的な様相を呈した。通路はペンタゴンのような賑やかな雰囲気を漂わせている。実際、多くの人が制服を着用しており、NSAが結局のところ国防総省の一部であることを改めて思い起こさせる。NSAの長官は全員、提督や将軍といった高官出身だ。民間職員でさえ、軍隊のような歯切れの良い、敬意を込めた効率的なコミュニケーションをとっている。すべては「サー」や「マム」といった直接的な言葉遣い、頭字語、そして数字だ。こうした軍隊的なメンタリティが、彼らの心構えに深く根付いている。NSA職員は、兵士と同じように、自らを国家に奉仕し、国を守り、やらなければならない仕事をこなし、その報われない仕事ぶりを平然と無視しているのだ。NSAと部外者の交流には、いつも、ある暗黙のフレーズが会話を覆い隠しているように思える。それは、映画『ア・フュー・グッドメン』のジャック・ニコルソン演じる憤慨した戦士のそれだ。「真実を受け入れることはできない」。

一つだけ聞いてください

クリスはこう書いています。「なぜソーシャルメディアサイトとその開発者にライセンスを与えないのでしょうか？考えてみてください。私たちは医師、弁護士、さらには配管工にもライセンスを与えています。プロフェッショナルエンジニア（大文字のEで始まるエンジニア）は、業務を行う前に厳しい訓練を受けますが、お金さえあれば誰でも（学位は不要ですが）コードを書くだけの人であれば、結果を顧みることなく、公共資源に自由にアクセスできるのです。」

クリス、質問ありがとうございます。これは2つの質問だと解釈してもいいでしょうか？1つ目は、ソーシャルメディアアプリがユーザーから有害コンテンツ（場合によっては無謀なプロモーション）を拡散させる可能性があるため、ライセンスを付与すべきかどうかです。そのためのライセンスを要求することは憲法修正第1条に抵触すると思われますし、そもそも私はそのような言論のライセンス付与には抵抗があります。2つ目は、ソフトウェアをあなたが言及されている「大文字のE」のステータスで扱うべきかどうかです。つまり、ライセンスを持つ専門家だけがアプリをリリースできるということです。これもまた、言論の自由の観点から賛成できません。さらに、開発者が認定を受けているからといって、ソフトウェアの信頼性が高くなるという保証はありません。ビル・ゲイツが初めてBASICを書く際にライセンスを受けていたでしょうか？おそらくそうは思えません。事実上、AppleとGoogleはアプリストアで配布するアプリに基準を設けています。ミッションクリティカルなソフトウェアを使用する人は、より綿密に検証する必要があります。その他の点については、Google検索でアプリの信頼性がわかるかもしれません。サイバーパンク2077にバグがあることが、いかに早く発見されたかを見てください！

ご質問は[email protected]までお送りください。件名に「ASK LEVY」とご記入ください。