米海軍が有名ソフトウェアを悪用するためのゼロデイを購入しようとしてEFFに摘発される

米海軍がMicrosoft、Adobe、Android、IBM、Appleなどのゼロデイを購入しようとし、EFFに現行犯で摘発される

サイバー犯罪者がゼロデイを探しているのは新しいことではなく、NSAやGCHQのような政府の監視機関も時折、ハッカーからゼロデイを購入してソフトウェアの脆弱性を悪用し、バックドアを設置しています。しかし、米海軍が複数の有名なソフトウェアのゼロデイを購入しようとしているのが発見されたのは初めてのことです。

電子フロンティア財団（EFF）は、米海軍が有名なソフトウェアのセキュリティ脆弱性を売る人々を公に募集しているのを発見しました。米海軍はNSAのようにゼロデイを購入し、ソフトウェアにバックドアを構築しようとしていたようです。

ゼロデイ購入のオファーは、政府のウェブサイトFedBizOppsに掲載されており、EFFによって指摘された後、すぐに削除されました。ウェブサイトでは、米海軍がゼロデイを必要とする理由を詳述しています。「米政府は、広く使用され信頼されている商業ソフトウェアに影響を与える脆弱性インテリジェンス、悪用レポート、運用悪用バイナリにアクセスする必要があります」と述べています。

EFFは、米海軍がMicrosoft、Adobe、Android、IBM、Apple、EMC、Cisco、Linksys、Linux、EMC、Javaに属するさまざまなソフトウェアパッケージのゼロデイを購入したいと考えていたことを示す投稿を保存しました。以下にPDFのキャプチャを示します：

https://www.eff.org/files/2015/06/12/70-common-vulnerability-exploit-products-federal.pdf

上記のテクノロジー企業は、毎日数十億のユーザーによって使用される製品を製造しています。米海軍のバケットリストからは、できるだけ多くのソフトウェアパッケージにバックドアを作成しようとしていることが明らかです。

「さらに注目すべきは、政府が脆弱性を悪用するかどうかを決定するプロセスに対してほとんど配慮していないように見えることです」とEFFはブログ投稿で書いています。

「以前にも説明したように、開発者に開示するのではなく、脆弱性を『攻撃的』な目的で使用する決定は、何百万ものユーザーのセキュリティよりも監視を優先するものです。政府は、この決定がすべてのケースにおいて非常に重要であることを認めています。

「海軍はこの特定の募集を記憶の穴に送ろうとしましたが、私たちはFOIA訴訟を通じて、政府の公の声明とゼロデイの備蓄に関する明らかな実践との間の対立に光を当てることができることを期待しています。」

同じブログ投稿で、EFFはVEPに関して米政府を訴えるプロセスにあると述べました。ブログは次のように続けます。

さらに注目すべきは、政府が脆弱性を悪用するかどうかを決定するプロセスに対してほとんど配慮していないように見えることです。以前にも説明したように、開発者に開示するのではなく、脆弱性を「攻撃的」な目的で使用する決定は、何百万ものユーザーのセキュリティよりも監視を優先するものです。政府は、この決定がすべてのケースにおいて非常に重要であることを認めています。政府は「脆弱性開示のための規律ある厳格で高レベルの意思決定プロセスを確立した」と報告されており、これを脆弱性の公平性プロセス（VEP）と呼んでいます。政府はVEPが完全に機密であると述べており、EFFはその公開を求めて訴訟を起こしています。