NSAは、米国の諜報機関が推奨するジュニパーのファイアウォールソフトウェアの脆弱な暗号化方式を外国政府が悪用した事件について、その調査結果をまとめた報告書を作成したと言われている。
しかし不思議なことに、NSA はその報告書のコピーを見つけることができていない。
ロイター通信のジョセフ・メン記者は水曜日、NSAが今も米国の技術製品にバックドアを仕掛けているかどうかを確かめようとするロン・ワイデン上院議員の取り組みについての記事を掲載した。
ワイデン上院議員(オレゴン州民主党)は、ジュニパー事件が示すように、こうした取り組みは裏目に出て国家安全保障を危うくする可能性があり、米国製のハイテク製品の魅力を減じるとして、こうした取り組みに反対している。
しかし、上院情報委員会の委員であるワイデン氏の調査は、情報機関と民間セクターの協力不足によって難航している。6月、ワイデン氏と複数の同僚は、ジュニパーのCEO、ラミ・ラヒム氏に書簡を送り、「NetScreenファイアウォール製品群に存在する可能性のある複数のバックドア」について質問した。
ジュニパーは2015年、NetScreenファイアウォールの基盤となるScreenOSに「不正コード」が見つかったことを認めました。このコードは2008年頃から存在していたと推測されています。
ロイターの報道は、ジュニパーがこれまで公表していなかった議会への声明を引用し、ネットワーク業界が「名前を明かさない国家政府がNSAによって最初に作成されたメカニズムを転用した」ことを認めたと主張している。
2018年、ワイデン氏のスタッフはNSAから、この事件に関する「教訓」報告書が作成されたと伝えられた。しかし、ワイデン氏の広報担当者キース・チュー氏はロイター通信に対し、NSAは現在、そのファイルは見つからないと主張していると述べた。ワイデン氏の事務所はコメント要請に直ちには応じなかった。
この悪意のあるコードが ScreenOS VPN 接続を解読できた理由は、Juniper が「NSA 設計の Dual EC 疑似乱数ジェネレータを使用する決定」を行ったためだと考えられています。
ジュニパーのVPNセキュリティホールは、政府のバックドアが狂っていることの証拠だ
続きを読む
同社はなぜこのような決定を下したのか、まだ具体的な理由を明らかにしていない。ジュニパーネットワークスはコメント要請に応じなかった。
2013年に元NSA契約職員のエドワード・スノーデンがNSAの機密情報を漏洩した際、ロイター通信は数年前、セキュリティ企業RSA(現在はストレージ事業のEMC傘下)が、デュアル楕円曲線暗号(Dual EC)を使用するため、NSAと1,000万ドルの契約を結んでいたと報じた。RSAは当時、契約の存在自体は否定しつつも、一部の主張を否定していた。
NSAはDual ECの採用を強く望んでおり、米国商務省と協力してその推進に取り組んでいました。しかし2007年、マイクロソフトの研究者2名が、Dual Elliptic Curve Deterministic Random Bit Generator(DECDR)に深刻な欠陥があり、脆弱な暗号を生成する可能性があると報告しました。2014年までに、米国標準技術局(NIST)はDual ECのサポートを撤回しました。
ジュニパーは、2008年から2009年の間のある時点で、NSAであると広く考えられている「単一の顧客」の要請により、自社製品にデュアルECサポートを追加したようです。
2013年にスノーデン氏が米国の監視活動の範囲を暴露した後、NSAは商用製品への侵入に関するポリシーを改訂したとされている。ロイター通信によると、ワイデン氏をはじめとする議員たちはこれらのポリシーについて詳細を知ろうとしたが、拒否されたという。
NSAはロイター通信に対し、バックドアに関するポリシーの詳細提供を拒否し、「具体的なプロセスや手順」は共有していないと述べた。ロイター通信によると、元上級情報当局者3人が、NSAのポリシーでは、埋め込まれたバックドアが発見され悪用された場合に備え、何らかの警告を含む対応計画を策定することが義務付けられていることを確認したという。
The RegisterはNSAにコメントを求めたが、回答は得られていない。®
