国家安全保障局(NSA)が深刻な脆弱性を発見・公表したことを受け、MicrosoftはWindows 10とServer 2016向けのパッチをリリースしました。これは稀有な情報提供ではあるものの、前例のない情報提供ではなく、この脆弱性の深刻さを改めて示すものであり、NSAの新たな優先事項を示唆しているのかもしれません。
このバグは、ソフトウェアの正当性を確認したり、安全なWeb接続を確立したりするWindowsのメカニズムに存在します。検証チェック自体が信頼できない場合、攻撃者はその事実を悪用して、リモートからマルウェアを配布したり、機密データを傍受したりする可能性があります。
「(我々は)ネットワーク所有者に対し、我々もそうするように、パッチの即時適用を迅速に行うよう推奨している」と、NSAサイバーセキュリティ局長のアン・ニューバーガー氏は火曜日の記者会見で述べた。「今回のような広範な暗号脆弱性を発見した際、我々はすぐに企業と協力し、脆弱性を軽減できるよう尽力した」
この脆弱性は、MicrosoftのCryptoAPIサービスに存在します。このサービスは、開発者がソフトウェアやデータを暗号的に「署名」したり、認証に使用するデジタル証明書を生成したりするのに役立ちます。これらはすべて、Windowsがユーザーのデバイス上で信頼性と有効性を確認する際に、その信頼性と有効性を証明するためのものです。攻撃者はこのバグを悪用することで、重要な保護機能を無効化し、最終的には被害者のデバイスを乗っ取る可能性があります。
「マルウェアにマイクロソフトが信頼しているかのように署名したり、暗号化されたウェブトラフィックを傍受したりすることを考えてみてください」と、企業セキュリティ評価会社TrustedSecのCEOで、かつてNSAで働いていたデビッド・ケネディ氏は言う。「そのようなことは、多くの防御策を完全に回避するでしょう。」
研究者やサイバー犯罪者が脆弱性を研究し、それを悪用するハッキングツールの開発を急ぐにつれ、ユーザーへのリスクの大きさはより明らかになるでしょう。しかし、Windowsの重要な暗号化コンポーネントに欠陥があることは、Windows 10が世界で最も多く利用されているオペレーティングシステムであり、9億台以上のPCにインストールされていることを考えると、確かに問題です。
「これはWindowsオペレーティングシステムの中核となる低レベルの部分であり、管理者、一般ユーザー、そしてローカルネットワークとインターネットの両方における他のコンピュータ間の信頼を確立するものです」と、MongoDBのセキュリティプリンシパルであり、Open Crypto Audit Projectのディレクターを務めるケン・ホワイト氏は述べています。「この信頼を保証する技術に脆弱性があれば、壊滅的な結果を招く可能性があります。しかし、具体的にどのようなシナリオと前提条件が必要なのかについては、まだ分析中です。世界中の多くのWindows管理者にとって、長い一日となるでしょう。」
NSAが脆弱性を共有するという決定は、2017年初頭に修正されたWindowsのバグを悪用したNSAのハッキングツール「Eternal Blue」を想起させます。この脆弱性は当時入手可能なすべてのバージョンのWindowsに存在し、NSAは5年以上前からこのバグを認識し、デジタルスパイ活動に悪用していました。最終的に、NSAはEternal Blueの制御を失いました。Microsoftが修正プログラムをリリースしてから数週間後、「Shadow Brokers」と呼ばれる謎のハッカー集団がツールをオンライン上に流出させました。世界中のWindowsマシンが徐々に修正プログラムを適用するにつれ、犯罪者や国家レベルのハッカーたちはこのツールを悪用し、大いに活用しました。
Windows 10の検証バグは、NSAが同様の事態を回避しようとする試みなのかもしれない。また、Eternal Blueとは異なり、ニューバーガー氏はNSA自身がこの脆弱性を利用したわけではないことを強調した。
実際、ニューバーガー氏は、コード検証バグをマイクロソフトと一般市民に公開することは、NSAが脆弱性発見をより迅速かつ頻繁に共有するという新たなNSAの取り組みの一環であると述べた。この取り組みは、国家安全保障会議(NSC)が運営する既存の脆弱性公平性プロセスと並行して進められる。このプロセスは、ハッキングツールの秘密保持と脆弱性の公開の国家安全保障上の重要性を比較検討するものだ。
だからこそ、NSAは脆弱性を公表しただけでなく、自らの役割も公表したのです。「NSAが本当にこの問題を真剣に受け止めているのか、そして脆弱性を確実に軽減することが絶対的な優先事項なのかを、関係機関が信頼するのは難しい」と彼女は述べました。
エターナル・ブルーの大失敗以前から、NSA は脆弱性を公開して修正するのではなく、自らの悪用のためにそれを蓄えておくという慣行で大きな批判に直面していた。
10月、ニューバーガー氏はNSA内部のセキュリティ強化と部署間の連携強化を目的に、新設されたNSAサイバーセキュリティ局の局長に就任しました。NSAは伝統的に沈黙を守り、秘密主義を貫いてきましたが、サイバーセキュリティ研究コミュニティとの連携を強化するため、近年様々な施策を講じています。例えば、昨年はNSAが開発した貴重な分析ツール「Ghidra」をオープンソース・コミュニティ向けに公開しました。
このバグの公開は、NSAがハッキングツールの保有資産をすべて放棄することを意味するものではないし、そうすべきでもない。しかし、透明性に向けた動きは歓迎すべき一歩だ。たとえそれがNSAのイメージ回復につながるとしても。
この記事はWIRED USに掲載されたものです
この記事はWIRED UKで最初に公開されました。
