アンディ・パテル
WikiLeaksが3月7日に暴露したCIA文書について、当社にはおびただしい数の質問が寄せられている。
このニュースには驚いたか?
いや、スパイはスパイ行為を働くものだ。スパイがハッキングツールを使うことも想定内である(近頃の「Q」はサイバー攻撃も行っている)。
CIAはもう一度、まったく新しいツールを再構築する必要があるということか? 最初からやり直す必要があるのか? すべて「燃やされた」のか?
CIAの開発者は、ともかくツールを作り直す必要があるだろう。OSは毎年メジャーアップデートされ、デバイスの乗り換えも常に発生するため、ツールの再構築や新規開発が必要になる。脆弱性アナリストやエクスプロイト開発者はいつでも忙しい。
文書は本物だと思うか?
本物だろう。
文書はどのような内容か?
何らかの内部のWikiから出てきたのだろう。開発者が書き留めたメモのように見える。
どこにあったのか?
私たちが耳にした(非常にもっともらしい)説は、Booz Allen Hamiltonの契約社員であったHarold Martinの文書キャッシュだというものだ。
この文書ではエフセキュアについて言及されている。「厄介なトラブルメーカー」「低階層」とはどのような意味か?
さあ、CIAに聞いてほしい(私たちが気にすべきかもよく分からない)。まあ悪い感じはしない。
Considering adding a new badge to our product box. pic.twitter.com/gOGidSeZ8D
— @mikko (@mikko) March 9, 2017
製品ボックスに新しいバッジを追加するか検討中。
— ミッコ・ヒッポネン(@mikko) 2017年3月9日
エフセキュアラボは、漏えい文書に記載されていた「迂回」の疑いにどのように対応するのか?
非常に真剣に対応しており、ただちに調査を開始している。ただし、このメモは優れたバグレポートに匹敵するものではないため、徹底的に調査するには時間がかかるだろう。
通常、脆弱性にはどのように対応しているのか?
当社の脆弱性報奨金制度を通じて対応している。
CIAに対して脆弱性報奨金を支払うのか?(実際、この質問を受けている)
支払わない。
頻繁に脆弱性に対応しているのか?
厳然たる事実として、バグのないソフトウェアは存在しない。エンドポイント保護ソフトウェアは、大学の研究者に人気のターゲットとなっている。バグ退治によってソフトウェアは向上するため、これは望ましいことである。
他に何か見解はあるか?
サイバーセキュリティ企業は、当局や国家のために自社製品にバックドアを設けているのかと聞かれることが多い。今回の文書は、その疑いを決定的に払拭するものだ(少なくとも当社にとっては)。ご覧のとおり国家の当事者も、サイバー犯罪者と同様に、当社製品を迂回するための努力が必要である。
カテゴリ