諜報機関のためにメールをスキャンするツールを米Yahoo!が極秘に構築

『The Hacker News』

October 17, 2016 10:30
by 『The Hacker News』

10億以上のアカウントを危険に晒したYahoo! の大規模なデータ漏洩事件について、ユーザーたちは現在も論じている最中だが、同社に関する「もう一つの衝撃的なニュース」が世界を駆け巡った。

米Yahoo! は米国の諜報機関の要求に応じて、あなたの個人データを譲渡したかもしれない。

ロイターの報道によれば、Yahoo! は「米国諜報機関の当局者に提供された特定の情報」を、こっそりと全ユーザーのメールからスキャンするようプログラムされたカスタムソフトフェアを構築した、と伝えられている。

このツールは、NSA(またはFBI)の強い要請で「何億ものYahoo! アカウントをスキャンすることを命じる秘密の裁判所命令」が下されたのち、それを遵守したYahoo!が2015年に開発したものだと報告されている。そのレポートは、本件に精通している3人の別々の関係者による言葉を引用したものとなっている。

一部の専門家によれば、「このような大規模なスパイ機関の要求に対して、米国のインターネット企業が『すべての受信メールを検索する』『保存されたメールを調査する』あるいは『少数のアカウントをリアルタイムでスキャンする』という行動で合意を示したのは、これが初めてのことだ」という。

このツールは、Yahoo! アカウントのメールから「特定の文字列」を探し出し、また「それら(のメール)を遠隔検索できるように格納」するよう設計されていたが、そのスパイ機関が何を検索しようとしていたのかは特定されていない。

2008年、NSAに反発したYahoo! が、諜報プログラム『PRISM』への参加を拒否したことを暴いた別の法定文書についても、我々は2014年に報告している。Yahoo! は米国政府から「一日あたり25万ドルの罰金」の脅しを受けるまで、その参加を拒否した。

しかし、その米国の諜報機関は2015年に再び、裁判所命令とともに同社に接触していた。その裁判所命令は「機密指令(classified directive)」という形式で、Yahoo! の法務チームに送られた。

Yahoo! のセキュリティチームすら知らなかったほどの「極秘」

このメール検索ツールは、Yahoo! のセキュリティチームでさえ、そのプラグラムの存在を知らないほどの「極秘」扱いとなっていた。

Yahoo! のチーフエグゼクティブMarissa Mayerと法務顧問のRon Bellは、「その命令に逆らうのではなく、準拠すること」を決断しただけでなく、「そのプロセスにおいては、Yahoo! のセキュリティチームさえも関与させないこと」も決断していたことが、そのレポートに示されている。

一方で、MayerとBellは「スパイ機関が要求している、特定の文字列を含んだメッセージを吸い上げ、それらを遠隔検索のために格納するプログラム」を作り出すよう、Yahoo! のメール担当技術者たちに依頼していた。

そのような事情があったため、このプログラムを2015年にYahoo! のセキュリティチームが発見した当初、同チームは「ハッカーに侵入された」と考えた。

「納得いかなかった」CISOは、直ちにYahoo! を退社

この監視プログラムをMayerが承認していたということを知ったとき、Yahoo! のCISO(最高情報セキュリティ責任者)のAlex Stamosは、「ユーザーのセキュリティを損ねる決断が下される際、自分は外されていた」と部下たちに語り、同社を去った。

そして現在、StamosはFacebookに勤務している。ロイターの要請に応じたYahoo!の短い声明は次のとおりだ。
「Yahoo! は遵法的な企業であり、米国の法に従う」

同社は、それ以上のいかなるコメントも差し控えている。

他のインターネット企業も、おそらくは同様の裁判所命令を受け取っているだろう。なぜなら「(諜報行為を仕掛ける)ターゲットが、どの企業のメールサービスを利用しているのか」をスパイ機関は知らないからだ。

そして通常、NSAは国内の諜報行為を要請する際にFBIを通しているため、その情報をどちらの機関が求めていたのかは分からない。

このニュースが報じられたのは、Yahoo! が「国家に支援されたサイバー攻撃」に襲われ、5億人以上のユーザーの詳細な個人情報を漏洩したことを同社が発表してから、ほんの数週間後だ。
 
原文:Yahoo Built a Secret Tool to Scan Your Email Content for US Spy Agency
※本記事は『HackerNews』の許諾のもと日本向けに翻訳・編集したものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…