10/31/2013

[pol] 米NSAがGoogle、Yahoo両社の全クラウドデータを無断取得

米NSAによる盗聴の件、さらにもう一段の不義が発覚したそうです。

何かと言うと、これまで合意の下、PRISMプログラムでの盗聴活動に協力していたものとされていた米IT大手各社の内、GoogleとYahooの2社のネットワークに対し、ともに無断で、暗号化されていない箇所をターゲットにする事で全トラフィックを取得し監視する、MUSCULARプログラムなる活動が行われていたというのです。

取得の具体的な手口は明らかではありませんが、非暗号化データの流れる光ファイバーにスプリッタを入れ、全データをバッファリングして自由に取り出せるようにしたとかいう見方が強いようです。確かに、業者に無断で全トラフィックを取得する方法なんてそれ位しかないでしょう。であれば、文字通り全ての、暗号化もされない生のデータを取得出来ますから、当然両社の全サービス、Gmailは勿論の事、Google Docs等のクラウド系サービスでやり取りされるデータの全てを、その過程も含めて取得していた事になります。従って被害者は全ユーザすなわち世界中の数億人。

これまでNSAは、これら協力企業のサービスにおける通信盗聴に関し、盗聴の実行は通信業者が担い、自らは合意の下データの提供を受けたものであり、各社の通信データの取得を直接行ってはいない、として来ました。本件はその主張が偽りであった事を証明するものに他なりません。要するにNSAは、協力企業すらも欺き、裏切っていたという事です。

最近、GoogleとYahooの両社が内部を含めた殆ど全てのトラフィックを対象に暗号化を強化する方針に転換し、当然にNSAの盗聴発覚との関連が疑われつつ、その性急さには、協力企業の筈なのに何故、と訝しまれる部分もあったところですが、これで腑に落ちました。全てが外部に筒抜けとあっては、クラウドサービス自体が成立せず、即存亡の危機になってしまうでしょうから。といっても遅きに失した、もしくは後の祭りな気もしますが。特に企業ユーザはその大半が利用を取りやめ、というか禁止するだろうし、落とし前的な損害賠償を求められるケースも増えるでしょう。

NSAはこの期に及んでまだmisleadingだとか主張し、言い訳を重ねているそうです。その真偽を確かめる術はなく、かつ経緯が経緯だけに、もう誰もまともに取り合おうともしないだろうし信用も何もないのだから、局長のAlexanderあたりは本当に自国の利益を優先するのなら潔く責任を取って自分の首を差し出す位はしてもよさそうなものだと思いますが、そのような姿勢は欠片も見せず、自己弁護と保身に必死な姿はあまりにも無様で、長年畏怖畏敬の対象であった米国情報機関も、その人的実態はこんなものかと、冷やかな思いを抱かざるを得ないのです。それを正そうともしない大統領はじめ米国政府にも。

しかしGoogleとYahooだけなのでしょうか。他のPRISM協力企業、特にMicrosoftとかFacebookはどうなのでしょう。NSAがわざわざせずとも元々全ての生データを提供してたから不要で対象外、とかそういう事なんでしょうか。

NSA reportedly tapped into Google, Yahoo data centers worldwide without telling either company

英国の深い関与も指摘されていますね。その線からMuscularと対をなすIncensorというシステムの存在も表面化しているようですが、これはなんなんでしょう。フィルタリングシステムの事かな?

N.S.A. Said to Tap Google and Yahoo Abroad

[関連記事 [pol] 米NSAによる独仏含む各国首脳への盗聴露見、信頼の喪失]

[関連記事 [pol] PRISMを通して見えたアメリカ、不誠実の国]