ジュニパーのネットワーク機器に潜むバックドアは、連邦政府職員のみのアクセスを義務付ける政府方針に反対する訴訟において重要な証拠となる可能性があるが、メーカー側はこの件に関する報告書を提出しておらず、米国議会が対策を講じる事態となっている。
上院議員と下院議員からなる超党派グループは本日、ジュニパーネットワークス社に対し、2015年に同社のNetScreenファイアウォールファームウェア内で「無許可の」VPN復号化コードが発見された件について、詳細を明らかにするよう求める公開書簡[PDF]を送付した。
このソフトウェアルーチンは、盗聴者がリモートからアプライアンスに接続し、暗号化されたトラフィックを盗聴する可能性があり、実質的にすべての送受信データを盗聴することができました。これはNSAのバックドアであり、その後、正体不明の人物によって悪用されたという主張もあります。ジュニパーネットワークスは徹底的な調査を行い、このスキャンダルに関する報告書を発表すると約束しましたが、バックドアが発見されてから4年以上が経過した現在も、何が起こったのか、誰が責任を負っているのか、明確な答えは出ていません。
ロン・ワイデン上院議員(オレゴン州民主党)率いる議員らは、この事件が政府義務付けの暗号化バックドアに関する議論に重要な証拠を提供すると考えており、セキュリティ上の失策の真相を究明したいと考えている。
NSA: 申し訳ありませんが、バックドアを発見した後でも、その壊れた暗号資産を支持しました
続きを読む
この書簡に署名した議員の中には、有力なコリー・ブッカー上院議員(ニュージャージー州選出、民主党)とマイク・リー上院議員(ユタ州選出、共和党)、ジェリー・ナドラー下院議員(ニューヨーク州選出、民主党)、下院国土安全保障委員会委員長のベニー・トンプソン議員(ミシシッピ州選出、民主党)、そしてカリフォルニア州選出のゾーイ・ロフグレン下院議員(シリコンバレー選出)、テッド・リュウ下院議員(ロサンゼルスの大部分を含む選挙区)らがいる。彼らは、謎の暗号解読ルーチンが発見されたのは2015年だが、この脆弱性は2000年代後半から存在していた可能性があると述べている。
「驚くべきことに、ジュニパーが2015年に発見した不審なコードはバックドアを作成するものではなく、既に存在していたと思われるバックドアを改変したものだったようだ」と書簡には記されている。「その後、国際的な一流専門家チームによる分析で、実際には2008年頃にはジュニパー製品にバックドアが追加されていた可能性が高いことが判明した。」
特に、書簡ではジュニパーネットワークスに対し、2009年の暗号化モジュールの認証に関する詳細情報、およびそれらのモジュールが米国国立標準技術研究所(NIST)の要件に準拠していたかどうかの開示を求めていますが、それだけでは安全性の保証にはならないとしています。また、2015年の発見に関する調査結果の全容、そしてジュニパーネットワークスが保有するScreenOSファームウェアの開発に関する記録や詳細情報、そしてそれを変更した従業員に関する情報も開示するよう求めています。
議員たちの疑惑が真実であると判明すれば、ジュニパーのケースは、暗号化バックドア反対派が提示してきたまさにその悪夢のシナリオの教科書的な例となるだろう。つまり、連邦政府専用のアクセス ポイントが悪意のある人物や外国のエージェントによって発見され、リバース エンジニアリングされ、人々をスパイするために悪用される可能性があるということだ。
「過去1年間、ウィリアム・バー司法長官と他の政府高官は、政府の監視を容易にするため、テクノロジー企業に対し、自社製品の暗号化を破るよう改めて求めてきた」と書簡は指摘した。
「ジュニパーの経験は、バックドアの危険性、そして政府のバックドアが洗練された攻撃者によって秘密裏に破壊されるのがいかに容易であるかについての貴重なケーススタディとなるだろう。」
ジュニパーはコメントを控えた。®
