Howdy! How can we help you?
-
気候変動1
-
ブラウザ72
-
戦争36
-
ヘイトスピーチ10
-
偽情報、誤情報7
-
ジェンダー3
-
国家安全保障10
-
fediverse20
-
alternative_app18
-
デジタルセキュリティツール15
-
国内の監視社会化と反監視運動6
-
VPN10
-
GIFCT2
-
政府・国際機関の動向166
-
スパイウェア20
-
OS関係20
-
教育・学校9
-
監視カメラ16
-
労働現場の監視9
-
プライバシー159
-
デジタルID(マイナンバーなど)12
-
GPS1
-
AI78
-
オリンピックと監視社会7
-
文化12
-
労働運動17
-
リンク集12
-
金融監視3
-
COVID-19と監視社会18
-
検閲105
-
海外動向412
-
オンライン会議システム14
-
暗号化69
-
アクティビストとセキュリティ32
-
ビッグテック、大量監視262
-
SNSのセキュリティ20
-
共謀罪1
-
メールのセキュリティ43
-
Articles1
米国連邦議会、Ron Wyden議員によるソルト・タイフーンに関する書簡
(訳者前書き)下記の書簡は、先日明らかになった、「ソルト・タイフーン」と呼ばれるハッカー集団による侵入事件について、連邦議会議員のロン・ワイデン(民主党)がFCCと司法省に宛てた公開書簡の日本語訳。ソルト・タイフーンの特徴は、米国政府が法的に義務付けているプロバイダーと捜査機関の間に設置されている盗聴捜査のためのバックドアを利用しての侵入だった、という点だ。こうしたバックドアを使って捜査機関が盗聴捜査を行なうが、このバックドアの悪用が以前から問題視されていた。バックドアそのものを廃止することがセキュリティ上最も好ましいことが今回の事態で判明したといえる。(小倉利丸)
関連記事
(Gigazine)中国政府系ハッカー「ソルト・タイフーン」が複数のインターネットプロバイダーに侵入していたことが判明
(Gigazine)中国のハッカー集団「ソルト・タイフーン」がISP経由で捜査機関による盗聴システムに侵入した可能性
私は、米国の電話会社およびブロードバンド企業の盗聴システムをハッカーから保護するために、貴機関が最終的に行動することを主張するために書きます。議会は30年前、電話会社にネットワークに盗聴機能を追加することを要求する1994年の法律の一部として、これらのシステムの安全性を要件としていました。しかし、政府はこの規定を適切に実施する代わりに、これらの機密性の高いシステムに必須のセキュリティ基準を採択してこなかったため、国家安全保障に深刻な危害を及ぼす結果になったと報じられています。
ウォール・ストリート・ジャーナル紙は最近、中国政府のハッカーと思われる人物が、AT&T、ベライゾン、ルーメン・テクノロジーズなど、米国の大手電話会社や家庭用ブロードバンド企業の盗聴システムに侵入した可能性があると報じています。事実であれば、この侵入によって中国が米国政府の監視対象を特定し、米国人を監視できるようになる可能性があります。
これらの電気通信企業は、サイバーセキュリティが甘く、自社のシステムの安全確保に失敗した責任を負っていますが、政府にも多くの責任があります。報じられているハッキングされた監視システムは、法執行のための通信支援法(CALEA)を通じて連邦法によって義務付けられていました。CALEAは1994年に連邦捜査局(FBI)の働きかけで制定されたもので、当時登場しつつあったデジタル電話ネットワークに盗聴テクノロジーを導入することを電話企業に強制するもの。2006年、FBIの要請を受けた連邦通信委員会(FCC)は、この裏口命令をブロードバンド・インターネット企業にまで拡大しました。
CALEAの議会公聴会では、サイバーセキュリティの専門家が、これらのバックドアはハッカーや外国の諜報サービスの格好の標的になると警告しました。しかし、このような懸念は、当時のFBI長官ルイス・J・フリーによって退けられました。フリー長官は議会で、脆弱性が増大するという専門家の懸念は「根拠がなく、見当違いだ」と証言しました。議会は、専門家が警告したセキュリティリスクは対処できるというFBI長官の保証を信頼し、バックドアを義務付ける法律を可決しました。司法省(DOJ)は、新しい盗聴テクノロジーの開発と購入のための産業助成金を提供するために、現在のドルで10億ドルを受け取りました。
第103回連邦議会は、アメリカ人の通信に対するセキュリティとプライバシーのリスクを明らかに懸念していました。CALEAは、企業に盗聴システムの安全確保を義務付ける規制を発行するようFCCに指示しました。例えば、1997年にFCCに提出されたコメントでは、「認証手続き、監査証跡、侵入検知手段、その他コンピュータ・セキュリティの標準的な構成要素」を要求しています。しかしFCCは、企業の実務を 「細かく管理」 したくないとして、これを拒否しました。FCCは、スパイが盗聴システムを標的にし、危険にさらした例が公になった後でも、それ以来25年間、特定のサイバーセキュリティ防御を要件とするこれらの規制を更新しませんでした。注目すべき例としては、2009年に報道された中国政府のハッカーによるGoogleの監視システム侵害や、2004年に報道されたギリシャの最大手電話会社の侵害が挙げられます。
政府は直近のハッキングに関する情報を公表していませんが、報道が正確であれば、米国の国家安全保障に甚大な危害を与えた可能性があります。
ローゼンウォーセル委員長、あなたの機関には現在、これらのシステムに強力なサイバーセキュリティ防御を義務付ける権限があります。FCCはCALEA規制をアップデートし、法律のシステム・セキュリティ要件を完全に実施するための規則制定プロセスを開始すべきです。少なくとも、これらのアップデートされた規制は、電気通信事業者のための基本的なサイバーセキュリティ基準を定め、厳しい罰金によって実施するものとし、独立した第三者によるサイバーセキュリティ監査を毎年義務付け、取締役会レベルでのサイバーセキュリティの専門知識を義務付け、上級幹部がサイバーセキュリティ基準を遵守していることの証明書に毎年署名することを義務付けるべきです。
ガーランド司法長官、今回のハッキング事件は、サイバーセキュリティに対する司法省の現在のアプローチの不十分さを浮き彫りにしました。私は司法省に対し、以下の行動を取るよう強く求めます。
まず、司法省はサイバー攻撃に対する現在のアプローチの失敗を認識すべきです。このようなデータ漏洩は企業の過失の直接的な結果であるにもかかわらず、司法省は、セキュリティインシデントに関する情報を議会や消費者、投資家から隠すなど、企業の説明責任を回避するために極端に労力を費やしています。さらに司法省は、企業にこうしたセキュリティの不備に対処するよう強制する権限を持つ連邦規制当局とこの情報を共有しようともしません。連邦政府による外国人ハッカーの捜査と起訴は有益な結果をもたらす可能性がありますが、司法省がサイバーセキュリティの過失に対する企業の責任を追及するよりも、ほとんど裁かれることのない外国人ハッカーの刑事訴追を優先するのは、極端なまでに近視眼的です。これらの企業は、その過失によって国民と国家安全保障に危害を加えてきた企業不法行為者です。司法省は、規制当局と協力し、セキュリティの失敗に対する企業の責任を追及することで、将来のサイバー攻撃を防止し、企業のサイバーセキュリティの改善を促すことができます。
第二に、司法省は、暗号化されたメッセージングアプリのような他の通信テクノロジーへの監視バックドアを支持することによって、アメリカ人のプライバシーとセキュリティを害する政策を推し進めることを止めなければなりません。サイバーセキュリティの専門家の間では、盗聴機能が通信テクノロジーのセキュリティを弱体化させ、ハッカーやスパイに抵抗できない標的を作り出すという点については、以前から幅広いコンセンサスが得られています。それにもかかわらず、あなたの前任者や現・前FBI長官を含む法執行当局は、この現実を否定し、存在しない安全なバックドアに関する偽情報を流し、企業に圧力をかけて自社製品のセキュリティを弱めるよう求めてきました。
第三に、司法省は、今回の事件でハッキングされたと報じられている企業が、CALEAや False Claims Actなどの連邦法に違反していないかどうかを調査すべきです。最近の侵害が示しているように、これらの企業は盗聴システムにとどまらず、サイバーセキュリティを全面的に怠っています。司法省はその当局の権限を使用して、これらの企業の法令遵守を調査し、これらの企業が政府の請負業者である場合には、これらの企業が要求されるサイバーセキュリティ基準を満たしていると偽っていないことを確認する必要があります。
最近報道されている米国電気通信企業の盗聴システムに対するハッキングは、政府に対する大きな警鐘となるはずです。時代遅れの規制の枠組みと、怠慢な企業を保護することでサイバー攻撃に対抗するという司法省の破綻したアプローチに取り組むべきです。我が国の通信インフラのセキュリティは最重要であり、政府は今すぐこれらの長年の脆弱性を是正するために行動しなければなりません。
この重要な問題にご関心をお寄せいただき、ありがとうございます。この要請について質問がありましたら、私のオフィスのクリス・ソゴイアンにご連絡ください。敬具 ロン・ワイデン 米国上院議員