米政府などによるインターネット上の諜報活動が、当初報じられていたよりも深刻であることが明らかになった。米国のインターネット通信の大半を傍受したり、暗号通信を解読するためにソフトウエアに情報収集用の裏口(バックドア)を仕掛けたりするなどしていた。政府主導のこうした諜報活動によって、通信の秘密だけでなく、インターネットの安全性さえも脅かされようとしている。

暗号通信も解読

 一連の諜報活動は、米国家安全保障局(NSA)や米中央情報局(CIA)の職員だったエドワード・スノーデン氏が、英ガーディアン紙や米ニューヨーク・タイムズ紙などに提供した秘密資料によって明るみに出た。

 口火を切ったのは、2013年6月に報道された「PRISM」問題だ。NSAは、米マイクロソフトや米グーグルといった大手ネット事業者のサーバーから、電子メールなどの個人情報を入手する「PRISM」というプログラムを実施していた。だが、これは氷山の一角に過ぎない。その後の報道によって、「Stellar Wind」「Xkeyscore」「Bullrun」といった他の諜報活動プログラムの存在も明らかになっていった()。

表●これまで明らかになった米英政府などの情報収集活動
表●これまで明らかになった米英政府などの情報収集活動
[画像のクリックで拡大表示]

 特に深刻なのが、米英の両政府がインターネット上の暗号通信を解読していた「Bullrun」プログラムである。スノーデン氏がガーディアンに提供した秘密文書によれば、NSAや英政府通信本部(GCHQ)はスーパーコンピュータを用いた総当たり型の暗号解読を行ったり、商用ソフトに設けたバックドアを使ったりして暗号通信を解読していたという。

 例えばNSAは、米国内外のITベンダーに働きかけたり、公開鍵暗号などの標準化に影響力を行使したりして、「HTTPS」や「SSL」などの暗号通信に使う商用ソフトやネットワーク機器などに脆弱性を設けさせていたという。NSAが情報を収集するためのバックドアとして使うためだ。ほかにも、VPN(仮想私設網)装置などで使用する暗号化チップにバックドアを設け、暗号通信を解読していたという報道もある。

 実際、バックドアの痕跡は見つかっている。暗号技術の標準化を担当する米国の国立標準技術研究所(NIST)は2013年9月、データの暗号化を行う際の乱数生成に使用するアルゴリズムの技術標準「Dual_EC_DRBG」(規格名は「SP800-90A」)を使わないよう推奨する勧告を出した。

 Dual_EC_DRBGは2007年に乱数生成の技術標準になった当時から、セキュリティ専門家であるブルース・シュナイアー氏によって、バックドアの埋め込みに利用される恐れがあると指摘されていた。NISTはガーディアン紙などの報道を受け、暗号技術の専門家としてNSAの職員が暗号技術の標準化に加わっていることを認めた上で、SP 800-90A規格の見直しなどを行うと発表した。