NSAの天才ハッカー集団がハッキング被害、官製ハッキングツールが流出

犯人はNSA内部にいる？

　シャドーブローカーズが公表したファイルのリーク元について、現時点で最も有力な説は、イクエージョングループがサイバー攻撃を仕掛ける際に使う「テストサーバー」に侵入可能なNSA内部の関係者か、外国の情報機関による仕業だという見方だ。

【参考記事】スノーデンが暴いた米英の「特別な関係」、さらに深まる

　2013年にNSAが極秘裏に大量の個人情報を収集していることを暴露して訴追され、ロシアに亡命中の米中央情報局(CIA)の元職員エドワード・スノーデンによると、以前にもNSAのサーバーは外国のハッカー集団によるサイバー攻撃を受けたことがあった。ただしNSAを攻撃したハッカー集団がその事実を公表したのは、今回が初めてだ。



　シャドーブローカーズの正体や動機が何であれ、この事件は米政府の情報セキュリティー政策に関する明確な教訓を提示した。1つ目の教訓は、セキュリティーの脆弱性を開示する「脆弱性公平プロセス（通称VEP）」を取り巻く懸念だ。VEPは、米政府の情報機関がサイバーセキュリティ―上のシステムの弱点を発見した際、欠陥を修復するようシステム開発者へ通知するかどうか、またどのタイミングで通知するかの手順を定めたものだ。

　2014年、米政府のサイバーセキュリティ―調整官を務めるマイケル・ダニエルはホワイトハウスの公式ブログで、同プロセスは脆弱性の積極的な開示を強く支持するものだという米政府の見解を強調した。「インターネットに山のような脆弱性があると分かっていながら開示せず、問題を放置して国民の身を危険にさらすことは、アメリカの安全保障上の利益にならない」

　しかしそれを言うなら、あらゆる基準に照らして最も開示されるべきだったのがシスコの脆弱性だった。NSAはそこから、エクストラベーコンを使ってネットワークに侵入していた。それはかなり大きな欠陥で、ネットワークのすべてのトラフィックを監視できる。シスコは世界最大級の通信機器メーカーなので、その製品がハッキングされれば、アメリカと外国の膨大な数の企業が攻撃対象になる。

NSAでさえ秘密の盗難を防げない

　だからこそ、NSAにとってエクストラベーコンは価値の高いものだった。そして一時的にでもそれを使いたい誘惑も強かっただろう。その決断は、最初は正しかったのかもしれない。だが、3年の間、シスコにそれを通知しなかったことは言い訳のしようがない。その結果、シスコだけでなくシスコの顧客までが、いつ悪意のハッカーに襲われるかわからない状態にある（シスコはまだ修正パッチを出していない）。もし襲われれば、企業活動が麻痺するのは必至だ。