PR

 オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に見つかった情報漏えいの脆弱性「Heartbleed」を米当局が利用していたと報じられたことに対し、米政府は現地時間2014年4月11日、これを否定する声明を発表した。

 Heartbleedが初めて公表されたのは4月7日。RFC6520で規定されたTLSのHeartbeat拡張を実装した際のバグに起因するもので、攻撃者が脆弱性を抱えたOpenSSLを利用するコンピュータに対して細工したパケットを送ると、メモリー上の情報を閲覧できてしまう危険性がある(関連記事:OpenSSLに情報漏えいの危険がある脆弱性、JPCERT/CCが注意喚起)。フィンランドのセキュリティ会社Codenomiconによると、暗号鍵や、ユーザー名、パスワードといった重要な情報を取得することが可能だという。

 米Bloombergが2人の関係者から得た情報として、「米国家安全保障局(NSA)は少なくとも2年前からHeartbleedに気づいていたが、情報収集活動にこれを定期的に利用していた」と4月11日に報じると、米国家情報長官は即座に公式ブログで「2014年4月より前にNSAなど政府当局が認識していたという報道は間違いだ。連邦政府は民間企業のサイバーセキュリティ報告書で公表されるまで知らなかった」とBloombergの報道を否定した。

 米Forbesは「Bloombergの報道が正しいのであれば、元米中央情報局(CIA)職員のEdward Snowden容疑者の告発を超える大問題になる可能性がある」と述べている。一方米New York Timesは「Heartbleedの悪用によって取得できるデータはランダムであり、一度に引き出せる情報が少ないため、広範な情報収集ツールとしては役に立たない」とする複数のセキュリティ専門家の意見を伝えている。

 またNew York Timesの別の記事では、国家情報長官が声明の中で、政府がゼロデイ脆弱性を確認した際の公表のタイミングに言及し「見直しを行っている当局間のプロセスでは、明確な国家安全保障や法執行の必要がない限り、脆弱性を公表する方向で判断する」と述べていることに着目し、「政府はNSAが利用できる脆弱性は公表せずに伏せておく方針だ」と報じている。