CIA は、すごいエクスプロイト コードの開発に非常に力を入れていたため、毎朝仕事に駆け出す前に、基本的なコンピューター セキュリティの原則について考えることは、キッチンのカウンターの上に置いてきてしまったのです。
この見落としにより、この超機密機関は、そのハッキングツールを最終的にウィキリークスの手に渡すことになり、ウィキリークスは2017年にスパイのマルウェア、ウイルス、遠隔操作ソフトウェア、その他の資料の詳細を「Vault 7」の名の下に正式に開示した。
CIAのシステム管理者で、ウィキリークスにファイルを渡したとして告発されたジョシュア・シュルテの裁判に関する私たちの報道をご覧になった方は、ここまでは既にご存知でしょう。すべてのツールを保存していた仮想マシンのパスワードが123ABCdefだったという事実さえ知っていれば十分でしょう。シュルテの裁判は評決不能で終了しましたが、彼はFBIへの侮辱と虚偽の証言で有罪判決を受けました。
私たちの言葉だけを鵜呑みにしないでください。この恥ずべき事件に関するCIAの内部報告書も、ほぼ同じ結論に達しています。つまり、米国の諜報機関は、セキュリティの不備により、少なくとも180GBのハッキングツールと文書を制御不能に陥れ、最終的にウィキリークスの手に渡ったということです。管理者パスワードの共有からリムーバブルストレージへの無制限アクセスまで、CIAは事実上あらゆる規則を破り、あるいは軽視していました。
CIAサイバーインテリジェンスセンター(CCI)は、情報資産を保護するための基本的な対策を講じるのではなく、ゼロデイエクスプロイトなどの攻撃ソフトウェアの開発に注力していました。防御を犠牲にして攻撃に注力したため、ハッキングツールの漏洩を許してしまいました。
ロン・ワイデン上院議員(オレゴン州選出、民主党)は本日、ジョン・ラトクリフ国家情報長官宛ての公開書簡の中で、内部報告書の編集版[PDF]を世界に公開した。CIA文書から直接引用した、問題の要点は以下の通り。
ウィキリークスのCIAの驚くべき新情報:エージェントは目の前のApple MacやiPhoneにソフトウェアをインストールできる
続きを読む
報告書は、CIAの内部不正者を検知・阻止するための手順とメカニズムに欠陥があり、その結果、例えばCIA内部の誰かが情報を持ち去ってしまう可能性があったと指摘した。「ウィキリークスの暴露は、CIAの内部脅威対策プログラムに欠陥と弱点があることを明らかにした。このプログラムは伝統的に、安全保障局と対情報ミッションセンター(CIMC)の緊密な連携に依存してきた」と報告書は述べている。
「ギャップの中には、法務顧問室、医療サービス、人事、セキュリティ、対諜報、ライン管理などのコンポーネント間のコミュニケーションの継ぎ目があり、それが点と点を結びつけて内部脅威の問題を企業として検出し、対処するのを妨げることがありました。」
ワイデン氏は、CIAが連邦政府全体に期待される以上のレベルにコンピューターやネットワークを強化することを信頼されていたにもかかわらず、Vault 7スキャンダルから何年も経った今でもCIAの内部セキュリティがこれほど不十分である理由について、ラトクリフ氏に説明を求めている。
「議会は諜報機関を国土安全保障省のサイバーセキュリティ指令の実施義務から免除したが、国家の最重要機密を託された諜報機関が、当然のことながら、システムを守るために政府機関が講じる措置を上回る措置を講じるだろうと議会は合理的に予想していた」とワイデン氏は述べた。
「残念ながら、諜報機関を連邦政府の基本的な安全保障要件から免除したのは間違いだったことは明らかです。」®
