更新:ヒューレット・パッカード・エンタープライズは、旧ソ連でキットの販売を許可するのと引き換えに、ArcSight セキュリティ プラットフォームのソース コードをロシアの捜査当局に引き渡しました。
国防総省はArcSightの最も著名な顧客の一つなので、これは少々厄介な話です。米軍は、何百万ものログファイルを調べて不審な活動を探すように設計されたこのソフトウェアを、米国諜報機関の安全な通信を管理する秘密インターネットプロトコルルーターネットワーク(SIPRNet)で使用しています。
言い換えれば、ArcSight コード、ひいては SIPRNet に悪用可能な脆弱性が存在する場合、ロシア人もその脆弱性について知っている可能性があり、これはアメリカのスパイを偵察するのに非常に役立つだろう。
「これは重大なセキュリティ上の脆弱性です」と、アークサイトの元セキュリティアーキテクト、グレッグ・マーティン氏はロイター通信に語った。「間違いなく、内部へのアクセスと潜在的な脆弱性を敵に与えてしまうことになります。」
レッドパニック:ベストバイがカスペルスキーのアンチウイルス製品を棚から撤去
続きを読む
過去3年間、ロシアは西側諸国の企業が自国で製品を販売したい場合、設計図の提出を義務付けてきた。これは表向きは、西側諸国のスパイが悪用する可能性のあるバックドアからロシアとその国民を守るためだ。HP、シスコ、IBM、マカフィー、SAPはいずれも設計図を提出したと報じられているが、シマンテックはセキュリティ上の理由から拒否した。
今年5月にArcSightをはじめとする複数のソフトウェア企業をMicro Focus社に売却したHPEは、コードがロシア国外のオフィスの一つで公開されたこと、そしてその情報源は社内から一切持ち出されていないことを確認した。HPEによると、ロシアの研究者らは「バックドアの脆弱性」を発見していないという。
「当社のソースコードと製品が侵害されたことは全くありません」と、エンタープライズIT大手HPEの広報担当者は付け加えた。また、HPEは「お客様に影響を与える可能性のあるあらゆる進展について、常にお客様に情報提供を徹底しています」とも述べた。
しかし、国防総省の広報担当者は、IT大手企業がロシアによるソースコード検査について軍の顧客に言及していないと述べた。さらに、米軍はベンダーから購入する既製のコードを検査しておらず、メーカーがシステムのセキュリティを適切に管理していると信頼していると付け加えた。
国防総省の兵站局による4月の報告書によれば、ArcSightは「ソフトウェアとハードウェアが深く組み込まれている」ため、「現在のITインフラを徹底的に見直しない限り」削除するのは不可能だという。
ArcSightの調査は、ロシアの諜報機関FSBと緊密に連携するロシアの企業Echelonによって実施された。Echelonのアレクセイ・マルコフCEOは、発見された脆弱性はすべてロシア政府に報告する義務があるとしながらも、発見されたバグは常にベンダーに最初に伝えていたと述べた。
「脆弱性が見つかれば、誰もが喜びます」とマルコフ氏は述べた。「開発者は、間違いが見つかったことに喜びを感じます。修正することで製品がより良くなるからです。」
言うまでもなく、他の国々も中国やマイクロソフトなどの海外サプライヤーの製品のソースコードを検査してきました。®
追加更新
HPE は完全な声明を送ってきました。以下がその内容です。
