GeekWireラジオ:デジタルセキュリティのプロがNSAの監視暴露をどう見ているか
トッド・ビショップ著
デジタルセキュリティに携わる人々は、NSAの暴露についてどう考えているのでしょうか?そして、私たち一般人はどれほど懸念すべきでしょうか?今週のGeekWireラジオ番組では、エドワード・スノーデンの暴露が続く世界の新たな現実について、セキュリティチームのメンバーが再び集結し、議論を交わします。
上記のエピソード、またはこちらのMP3ファイルから直接お聴きいただけます。スタジオには以下のメンバーが参加しています。
- Dave Peck (@dangerdave) は、公共のワイヤレス ネットワーク上でコンピューターやデバイスのユーザーを保護できるように支援するシアトルのスタートアップ企業 Cloak の創設者の 1 人です。
- フリーランスのソフトウェア開発者である Eric Butler (@codebutler) は、オープンなワイヤレス ネットワーク上で誰かのオンライン アカウントを乗っ取ることがいかに簡単であるかを実証したツール、Firesheep の作成者として知られています。
- セキュリティ企業トレンドマイクロのChristopher Budd (@christopherbudd) 氏は、以前はMicrosoftのセキュリティレスポンスチームに10年間勤務し、GeekWireにも寄稿しています。
これらは私たちの議論のハイライトの一部です。
NSA の監視情報の漏洩で、最も驚いたことは何ですか? また、学んだことは何ですか?
ペック氏:政府の諜報機関による権限の濫用は今に始まったことではありません。今日、新たなのは、電子通信の範囲と普及度、そしてそれゆえに彼らが達成できる権限の濫用の規模です。
バッド:今回の件で学んだのは、NSAでさえネットワーク上の管理者の問題を解決できないということです。これをデータ侵害として捉え、行間を読むと、スノーデンは契約社員で、複数のサーバーに管理者権限を持っていました。そして、その権限を使ってUSBメモリに保存された文書を盗み出したのです。私にとって、これはセキュリティの難しさを如実に示しています。セキュリティに重点を置き、予算はほぼ無制限である連邦政府機関が、ネットワーク上で(データを)区分化し、契約社員による管理者権限へのアクセスを阻止する方法を見つけることはできなかったのです。
バトラー氏:私が見た中で最も懸念されるのは、NSA がインターネット トラフィックをすべて収集していて、それをすぐに分析できないかもしれない、あるいは分析できないかもしれない、暗号化されているかもしれないが、この巨大な金庫があるという考え方です。これは、私がオンラインで行うすべてのことがいつか公開される可能性があると考えさせ、非常に懸念されます。
オンラインでのコミュニケーション方法は変わりましたか?
バトラー:私はいつもオンラインでの発言には気を付けてきました。会話は必ず漏れてしまうものだと、大体思っていました。でも、誰かとチャットしている時、特にこの話題について話している時は、時々こう思うんです。「この内容がデジタル記録として残ってほしいかな?」って。そんなことを考えて、自分の国のことを心配しなければならないなんて、本当に気がかりです。
バッド:特に変わっていません。でも、公平を期すために言っておきますが、コントロールを失っては困るような情報は載せていません。NSAに関する報道で私が腹立たしく思うことの一つは、これです。誰もがNSAとGCHQの活動について語っていますが、それは当然のことです。諜報活動を行っているのはNSAとGCHQだけではありません。ロシア、中国、イランなど、基本的にどの国も何らかの諜報活動を行っています。
私たちのプライバシーとセキュリティにとって、どちらがより大きな脅威なのでしょうか。コーヒーショップで不正なハッカーが認証情報を盗み出すことと、政府による監視でしょうか。
バトラー:人に問題を引き起こす可能性が最も高い脅威は、やはりコーヒーショップでしょう。しかし、NSAの場合、被害の可能性ははるかに大きくなります。いくつか例を挙げましょう。「LOVEINT」というプログラムについて聞いたことがあります。これはNSAで非常に頻繁に発生する問題なので、この名前が付けられました。これはNSAの職員が、基本的に過去の恋愛関係の相手をスパイするものです。自分の行動をすべて把握し、ストーカー行為を働く政府関係者がいるというのは、まさに最悪の悪夢のように思えます。
政府の活動について完全な透明性がなければ、私たちは政府を信頼できるでしょうか?
ペック:私は絶対に可能だと信じていますが、残念ながら、現在の状況、特にスノーデン氏の暴露という状況下では、非常に困難です。私たちの政府とこれらの情報漏洩は、あらゆる面でシステム全体への信頼を大きく損なうものだと思います。ですから、そのダメージを修復するには長い時間がかかるでしょう。
政府の取り組みにより、私たちはオンラインでより安全になったのでしょうか?
バトラー:答えは絶対に「いいえ」です。NSAが行っているのは、インターネットのセキュリティを弱体化させ、自らの侵入を許すことだからです。暗号規格を危険にさらしたり、ハードウェアやソフトウェアにバックドアを設置したりすることで、彼らはインターネットを誰からの攻撃にもさらすことになります。彼らは自らが主張する目的とは正反対のことを成し遂げているのです。
ペック:この不確実性の文化は非常に危険なので、全体としては私たちにとって純損失だと思います。
バッド氏:セキュリティ業界の誰もが、脆弱性によって暗号技術を弱めるものは誰にとっても脅威であることに同意するでしょう。誰かが必ず見つけるでしょう。…これは、これによってオンラインでより安全になるかどうかという問題ではなく、より安全になるかどうかという問題です。…現実世界でのセキュリティを強化するには、オンラインでのセキュリティを少し緩和する必要があるかもしれません。しかし、結局のところ、効果という観点からの計算ができていないため、真偽は分かりません。
今週のアプリ: Android および iPhone 向けの NSA CryptoChallenge。
