CIAの「ひどく緩い」セキュリティが「Vault 7」のデータ侵害を許した

By Isamu

ウィキリークスがMacをハッキングするためのCIAのツールをどのように暴露したかに関する新たな報告書は、安全保障局が自らのシステムに対する「容認できない」セキュリティの欠如を非難している。

大きな2017年を経て」ボールト 7CIAからの機密データの漏洩について、政府の調査報告によると、その原因は「日々の安全保障慣行がひどく緩いものになっていた」からだという。

「ウィキリークス特別委員会:最終報告書」の編集版がロン・ワイデン上院議員によって公開された。手紙の一部彼は国家情報長官に手紙を書いた。ワイデン氏は、報告書で提起さ​​れた疑問に対する「非機密的な回答」と、政府機関が複数の勧告に対してどのように行動する予定であるかを求めている。

「Vault 7」は、ウィキリークスがCIAのサイバーインテリジェンスセンター(CCI)からのデータコレクション全体に付けた名前である。これには、macOS の古いバージョンを悪用する実行可能な方法、ソース コード、通信の詳細が含まれていました。 「すべての文書は、程度の差こそあれ、サイバー作戦におけるCIAの得意分野を明らかにしている」と報告書は述べている。

CIA が使用し、WikiLeaks によって明らかにされた Mac ハッキング ツールの一例には、「Achilles」と呼ばれるシステムが含まれます。この 2011 年のシステムは、Snow Leopard Mac に対して使用するために開発されました。その使用に成功したという情報はありませんが、ユーザーは改ざんされたアプリケーションをインストールする必要がありました。

この問題と他の Mac エクスプロイトの詳細は次のとおりです。以前に報告されたウィキリークスにデータを提供した元CIA職員アダム・シュルテ氏によるものだという。報告書は編集されていない本文の中でシュルテ氏の名前には言及していないが、シュルテ氏はまだ捜査中であると伝えられている。

報告書では、180GBから34TBの情報が漏洩したことが確認されているが、関係するシステムのセキュリティが不十分なため、捜査当局はまだ正確なことを言えていない。同誌は、ウィキリークスがデータを公開したからこそ、CIAがデータが盗まれたことを知っていたと指摘している。

「盗まれたデータは、ユーザー活動の監視や堅牢なサーバー監査機能を欠いたミッションシステム上に存在していたため、1年後の2017年3月にウィキリークスが公表するまで、損失が発生したことに気付かなかった」と報告書は述べている。

「もしデータが国家敵の利益のために盗まれ、公開されなかったとしたら、政府機関のミッションシステム上の大部分のデータがそうであるように、私たちはまだ損失に気づいていなかったかもしれない。」と記事は続けている。

報告書は、関与した「ミッションシステム」が当時の政府機関のセキュリティ要件をすべて満たしていたと指摘している。 「しかし、CCIは増大する重要なミッションニーズに応えるため、自らのシステムの安全を犠牲にしてサイバー兵器の開発を優先していた」と同紙は述べている。

大幅に編集されたレポートの冒頭からの抜粋

「機密性の高いサイバー兵器のほとんどは区画化されておらず、ユーザーはシステム管理者レベルのパスワードを共有し、効果的なリムーバブルメディア管理はなく、ユーザーは履歴データを無期限に利用できた」と続けている。 「これらの欠点は、セキュリティを犠牲にして創造性とコラボレーションを優先することが多すぎる、長年にわたって進化した文化を象徴していました。」

この諜報ブリーフィング報告書の最も長い編集部分には、「進行中の複数のCIAの失敗」に対処するために政府機関が何をすべきかについての勧告が含まれている。同報告書は、「この任務システムの効果的な監視と監査が不足していたこともあり、損失の範囲と時期について十分な知識に基づいた仮定を行っている」と警告している。

しかし同時に、捜査当局はCIAの最も機密情報が安全なままであることに「ある程度の自信」を持っているとも指摘している。

「コラボレーションおよびコミュニケーション プラットフォームである Confluence のデータと、ソース コード リポジトリである Stash の一部のデータがウィキリークスによって公開されました。私たちは、ウィキリークスがすべての Confluence と Stash のデータを所有していると評価しています。しかし、現在、私たちはウィキリークスが中程度の自信を持って評価しています。ウィキリークスは、開発ネットワーク (DevLAN) 上に存在するすべての開発ツールとソース コードの最終バージョンのゴールド フォルダーを所有していません。 Gold フォルダはより適切に保護されており、Gold ではより簡単に利用できるバージョンのツールが利用可能であったにもかかわらず、WikiLeaks はこれまでのところデータを Stash に公開しており、Gold のサイズは数テラバイトであるためエクスポートが困難でした。

Related Post

AppleCare 付きの MacBook Pro M4 を月額 52 ドルから入手できます。2 年ごとにアップグレードするオプションもあります

AppleCare 付きの MacBook Pro M4 を月額 52 ドルから入手できます。2 年ごとにアップグレードするオプションもありますIsamu

AppleのSnow Leopard、オンデマンドでプリンタードライバーをロード

AppleのSnow Leopard、オンデマンドでプリンタードライバーをロードIsamu

AppleのM3 Ultraは、AI、グラフィックス、3Dレンダリングの次のレベルのパワーのロックを解除します

AppleのM3 Ultraは、AI、グラフィックス、3Dレンダリングの次のレベルのパワーのロックを解除しますIsamu

You Missed

法執行機関は要求するだけで Ring ドアベルのビデオを入手できる [u]

AppleCare 付きの MacBook Pro M4 を月額 52 ドルから入手できます。2 年ごとにアップグレードするオプションもあります

スティーブ・ジョブズ氏は、シンプルなHDTVの秘密を「解明した」と伝記作家に語った

Apple、製品の品質に取り組むために新しい運営担当上級副社長を任命

AppleのM3 Ultraは、AI、グラフィックス、3Dレンダリングの次のレベルのパワーのロックを解除します

AppleのSnow Leopard、オンデマンドでプリンタードライバーをロード

Appleノートブックのオーバーホールが10月中旬に噂される

任天堂、iPad風のコントローラーを搭載した次世代ゲーム機を発表