NSA、「Heartbleed」脆弱性をデータ収集活動に利用と報じられる--声明で否定

　米国家安全保障局（NSA）は、「Heartbleed」バグを少なくとも2年前から把握しており、NSAはそれを秘密にした上で機密情報の収集に利用していたことが報じられている。このニュースは、NSAによるスパイ活動があらゆる人のために存在するインターネットの安全性を脅かすという批判を煽ることになるかもしれない。

　Bloombergが「本件に詳しい」2人の匿名情報筋の話として報じたところによると、NSAはHeartbleedを利用することで、「パスワードなどの基本データを取得することができた。これらは、NSAの中核的任務でありながら、代償を伴う洗練されたハッキング操作に欠かせないものだ。その結果、何百万人もの一般ユーザーが、他国の諜報機関や悪意のあるハッカーによる攻撃にさらされた状態になっていた」という。

How To：「Heartbleed」から身を守るには--セキュリティ専門家に聞く

　NSAは当初、Heartbleedのバグに関して「知っていた、あるいは使用していた」のかどうかについて、Bloombergからのコメント要請を拒否していた。しかし、NSAは米国時間4月11日、今回の報道内容を否定する声明を発表し、「先ごろOpenSSLに見つかった脆弱性、いわゆる『Heartbleed』脆弱性について、NSAは民間のサイバーセキュリティ報告書で公表されるまで認識していなかった。よって、当局が認識していたとする報道は誤りだ」と述べた。

　Heartbleedは、OpenSSLに存在するセキュリティ上の脆弱性だ。OpenSSLは、ウェブ上での通信を暗号化する際に多くのウェブサイトが使用しているソフトウェアであり、今回のバグにより、ユーザー名、パスワード、クレジットカード情報など、最も慎重に扱うべきデータが保管されているサーバのメモリの内容が流出するおそれがある。今週、この脆弱性が明らかになったことで、Google、Facebook、Yahoo、Dropboxといった大手企業各社のサイトは急きょシステムにパッチを適用し、インターネットユーザーは自分のパスワード変更に追われた。