以下の文章は、コリイ・ドクトロウの「China hacked Verizon, AT&T and Lumen using the FBI’s backdoor」という記事を翻訳したものである。

Pluralistic

中国政府と繋がりのあるハッカー集団がAT&T、Verizon、Lumenなどの大手通信会社に侵入した。彼らはこれらの企業のネットワークに潜り込み、数ヶ月にわたって米国内の通信を傍受していたのだ。対象は個人から企業、果ては政府関係者にまで及んでいた。驚くべきことに、彼らはコードの脆弱性を突く必要すらなかった。代わりに使ったのは、FBIが全ての通信事業者に設置を義務づけているバックドアだった。

https://www.wsj.com/tech/cybersecurity/u-s-wiretap-systems-targeted-in-china-linked-hack-327fc63b?st=C5ywbp&reflink=desktopwebshare_permalink

1994年、ビル・クリントンはCALEA(Communications Assistance for Law Enforcement Act:法執行機関支援通信法)に署名した。この法律は、米国内のすべての通信ネットワークに対し、法執行機関による盗聴を容易にする設計を義務づけている。CALEA以前、通信事業者は侵入や傍受を防ぐネットワーク設計に腐心していた。そこまでいかなくとも、少なくとも法執行機関の要求には無関心で、効率的で堅牢なネットワーク構築に注力していた。

予想されていたように、CALEAは議会通過の過程で通信業界から猛反発を受けた。しかしクリントン政権は、盗聴支援技術の導入に数億ドルの補助金をばらまくことで懐柔した。すると瞬く間に、新たな産業が誕生した。通信事業者が自社ネットワークにバックドアを開けるのを支援する企業たちだ。この胡散臭いビジネスの先駆者はほとんどが元イスラエル諜報機関出身者たちだったが、彼らはしばしば、米軍や情報機関の元幹部を引き抜き、自社の顔としてもてなした。彼らの人脈を利用して、法執行機関や情報機関との橋渡し役を担わせたのだ。

もちろん、CALEAに反対したのは通信業界だけではない。セキュリティの専門家(で政府の利権にあずかろうとしない人たち)は、「善人」だけが使え、「悪人」は締め出せるバックドアなど作れるはずがないと警鐘を鳴らした。

こうした専門家たちは、当時も今も、病的な心配性扱いされてきた。彼らは国家の安全を守るための大規模監視の必要性を理解せず、アメリカの智略への信頼も欠いているのだと。「人類を月に送り込めたんだから、警官が必要な時だけ選択的に機能を停止し、それ以外の犯罪者、いじめっ子、企業スパイ、外国政府には決して破られないセキュリティシステムくらい、簡単に作れるはずだろう」と。つまり、「我々はお前たちを信じている!もっと頑張れ、オタクども(NERD HARDER)!」。

「もっと頑張れ、オタクども!」は、CALEA以来ずっと米国政府の回答であり続けた。そして、クリントン政権下の別の構想、例えば失敗に終わったClipper Chipプログラムもそうだった。これは全てのコンピュータに、ひいては全ての電話やガジェットにスパイチップを埋め込もうという試みだった。

https://en.wikipedia.org/wiki/Clipper_chip

アメリカは「もっと頑張れ、オタクども!」を発明したかもしれないが、状況は他の多くの国々でも変わらない。史上最高のチャンピオンは、元オーストラリア首相のマルコム・ターンブルだろう。数学の法則により、善意の秘密だけを守り、悪意の秘密は守らない暗号化方式など作れないと告げられた際、彼はこう返した。「数学の法則は大変結構だが、オーストラリアで適用されるのはオーストラリアの法律だけだ」。

https://www.zdnet.com/article/the-laws-of-australia-will-trump-the-laws-of-mathematics-turnbull

CALEAはインターネットの物理層の根本的な再設計を強いた。幸いなことに、プログラムレベルでのプロトコル層の暗号化が、この意図的に仕組まれた脆弱性を部分的に相殺している。CALEAを使えば通信の傍受は可能だが、攻撃者が得られるのはほとんどの場合「メタデータ」(「誰々がX byteのメッセージを誰々に送信した」)に限られる。データ自体は暗号化されており、解読できないからだ。暗号化は実際に機能するのであって、バックドアとは違う。だからこそEU、米国、英国をはじめ、世界中の政府が今なお機能する暗号化の禁止を画策しているのだ。彼らが導入するバックドアは善人だけしか通さないと、しつこく主張し続けている。

https://pluralistic.net/2023/03/05/theyre-still-trying-to-ban-cryptography/

どんなバックドアでも、敵に悪用されるおそれがある。Salt Typhoonという名の中国が支援するハッカーグループは、数億人もの米国民、企業、機関の通信を傍受した。その立場を利用して、NSA流のメタデータ分析、マルウェアの注入、暗号化されていない通信の傍受を行うことができたのだ。しかも彼らは何一つハッキングする必要がなかった。米国政府が全てのネットワーク機器を警察が侵入できるよう最初からハッキング済みの状態で出荷するよう要求しているからだ。

これは、CALEAのバックドアが敵対国に地政学的な駆け引きの道具として悪用された初めてのケースではない。2004年から2005年にかけて、ギリシャの通信は米国のスパイ機関による大規模な監視下にあった。彼らはギリシャのオリンピック招致を妨害するために、首相に至るまでの政府高官たちを盗聴していたのだ。

https://en.wikipedia.org/wiki/Greek_wiretapping_case_2004%E2%80%9305

この話は実に多くの点で驚くべきものだ。まず、CALEAはギリシャでは法律ではない! ギリシャでは完全に機能するセキュアなネットワーク機器を販売できるし、CALEAのような愚策を採用していない国は世界中にたくさんある。しかし米国の通信市場があまりに巨大なため、全てのメーカーが仕向地に関係なく、CALEAのバックドアを組み込んでいるのだ。つまり米国は、この意図的な脆弱性を事実上、全世界に輸出している。そしてそれを使ってオリンピック招致を妨害するという、想像し得る限り最もちっぽけなことに利用した。

そして今、「Salt Typhoon」なる中二病的な名前の中国政府系ハッカーグループが、FBIお墨付きの「安全な」バックドアを使って、米国の通信インフラの中を我が物顔で闊歩しているのだ。

(Image: Kris Duda, CC BY 2.0, modified)

Pluralistic: China hacked Verizon, AT&T and Lumen using the FBI’s backdoor (07 Oct 2024) – Pluralistic: Daily links from Cory Doctorow

Author: Cory Doctorow / Pluralistic (CC BY 4.0)
Publication Date: October 07, 2024
Translation: heatwave_p2p

カテゴリー: Security