Mikko Hypponen氏 |
先週末に明らかになったRSA Security(米EMC傘下)と米国家安全保障局(NSA)との間の密約の疑惑を受け、フィンランドF-Secure所属の著名なセキュリティ専門家、Mikko Hypponen氏が23日、RSAが2014年2月に予定している年次カンファレンス「RSA Conference USA 2014」をボイコットすることを発表した。RSAが22日に表明した声明文に対し、「主張を否定していない」と指摘する。
Reutersが20日、RSAとNSAとの間に密約が存在すると報じたことを受けてのもの。RSAは自社BSAFE暗号化ライブラリに、疑似乱数ジェネレーターとして欠陥のある「Dual Elliptic Curve Deterministic Random Bit Generator(Dual EC DRBG)」を組み込むことでNSAから1000万ドルを受け取っていた、というもので、元NSA契約社員のEdwared Snowden氏の書類から明らかになったという
RSAはこれについて22日、自社ブログで「この主張を断固として否定する」とその内容を否定。Dual EC DRBGの利用の経緯について、
- 2004年にデフォルトで利用する決定を下したが、新しい堅牢な暗号化メソッドを開発するという業界全体の取り組みの一環であり、当時NSAは暗号化を強化する業界の取り組みにおいて信頼できる役割を担っていた
- Dual EC DRBGはBSAFEツールキットの一選択肢に過ぎず、ユーザーは他のアルゴリズムを選択できる
- 米国立標準技術研究所(NIST)標準となったことから2007年に欠陥が指摘されても使い続けた
- 2013年9月にNISTが同アルゴリズムを利用しないよう推奨した際はそのガイダンスに従い、その内容を顧客に伝えた
と説明している。
これを受けてHypponen氏は23日、F-Secure Labsのブログで、EMCの会長兼CEOのJoseph M. Tucci氏とRSA会長のArt Coviello氏に宛てた公開書簡を発表。
そこで「NSAの疑似乱数ジェネレーターを受け入れて自社製品のデフォルトに設定し、1000万ドルを受け取ると言う主張を否定していない」と指摘、さらにはNSAの疑似乱数ジェネレーターはバックドアを仕掛けるために意図的に欠陥であったこと、NSAがバックドアとして利用しているという疑惑が広がっていた間もRSAは使い続けたことを非難して、2月に米サンフランシスコで開催されるRSA Conference USAで行う予定になっている講演をキャンセルするとした。
「年商数十億ドル規模の御社が、NSAとの密約が明らかになった結果ダメージを受けるとは思っていない。他のカンファレンススピーカーがキャンセルするとも思わない。スピーカーの多くはアメリカ人であり、自分たちではなく、アメリカ人以外をターゲットにした監視を気にしているはずがない。米国の諜報機関の監視活動は外国人をターゲットにしている。わたしは外国人だ。そして、御社のイベントへの支持を撤回したい」とHypponen氏は記している。
Mikko Hypponen氏はF-Secureの最高リサーチ責任者で、セキュリティ業界では第一人者的存在。RSA Conferenceでは過去8回講演を行っており、2月のRSA Conferenceでは「Governments as Malware Authors(マルウェア作者としての政府)」というタイトルでスピーチを行うことになっていた。