元政府請負業者は、米連邦捜査局が OpenBSD オペレーティング システムで使用される暗号化ソフトウェアに多数のバックドアを設置したと述べている。
この疑惑は、OpenBSDプロジェクトの主任開発者であるテオ・デ・ラート氏によって火曜日に公表されました。デ・ラート氏は、この件が公に精査されるよう、元契約社員のグレゴリー・ペリー氏から送られた電子メールを公開しました。
「このメールは、10年近く話していない人物から個人的に届いたものです」と彼はOpenBSDのディスカッションリストへの投稿で述べた。「私はこのような陰謀に加担することを拒否しますし、グレゴリー・ペリー氏とこの件について話すつもりもありません。ですから、公表することにしました。」
ペリー氏の話を裏付ける者はいないものの、その主張は注目に値する。もしこれが真実ならば(そして現時点ではセキュリティコミュニティからは懐疑的な見方が出ている)、FBIが暗号化されたトラフィックを盗聴する秘密の方法を開発し、OpenBSDが受け入れたソースコードに隠していた可能性がある。
ペリー氏は現在、VMware サービス会社 GoVirtual の CEO だが、10 年前、つまり OpenBSD の IPsec スタックにバックドア コードが追加されたとされる頃は、FBI に勤務する政府請負業者だったという。
電子メールでのインタビューで、ペリー氏は、バックドアコードはFBIが米国司法省内の暗号化通信を監視できるようにするために開発されたと述べた。ペリー氏によると、ネットセックという企業の最高技術責任者を務めていた頃、FBIと協力し、犯罪者が使用する暗号化技術を法執行機関が回避できるよう支援するために1990年代後半に設立されたFBIテクニカルサポートセンターの契約社員でもあったという。
そこでペリーは、サイドチャネル攻撃と呼ばれるもの(予期せぬ場所を探して秘密情報を見つける方法)を含む暗号解読技術の開発に貢献した。例えば、コンピューターがさまざまな文字を処理するのにかかる時間を調べることでパスワードを解読するなどである。
ペリー氏が携わったプロジェクトの一つ、米司法省が使用する仮想プライベートネットワーク(VPN)システムは「後にFBIがバックドアを仕掛け、米国内外のさまざまな連邦検事局のサイトから(おそらく)大陪審の情報を盗み出すことができたことが判明した」とペリー氏は語った。
FBIの広報担当者はこの件についてコメントできなかった。
ペリー氏は、FBIとの秘密保持契約が期限切れだったため、デ・ラート氏に電子メールを送ったと述べた。
この件で最も注目すべき点は、デ・ラート氏が自身のソフトウェアの信頼性を損なう可能性のある主張を公表することを決断した点にあると言えるでしょう。OpenBSDはオープンソースソフトウェアであり、そのコンポーネントは他のUnixベースのオペレーティングシステムでも広く利用されています。
「こんなことをする人や企業はそう多くないと思う」と、OpenBSDプロジェクトのセキュリティ問題に携わってきた著名なセキュリティコンサルタント、ダン・カミンスキー氏は言う。
de Raadt 氏は電子メールの中で、疑惑を公表することで、ユーザーにはコードを検査する機会を与え、バックドアを書いたとされる人々には弁明の機会を与えることになる、と述べた。
火曜日、ペリー氏が主張するようなFBI職員ではないと名乗り出た人物がすぐに現れた。「この噂を流した人物がどこで情報を得たのかは分からないが、私の関与については残念ながら誤解している」と、EMCの仮想化専門家スコット・ロウ氏は述べている。
カミンスキー氏は、ペリー氏のFBIのバックドアに関する主張は真実である可能性もあるが、懐疑的だと述べた。「実際に知る術はない。私が抱いている大きな疑問は、この男が自身の告発について公に語るかどうかだ」と彼は言った。「彼がこの秘密保持契約の下にいた可能性を、遡って調べられる者はいるだろうか」
ロバート・マクミランは、IDGニュースサービスでコンピュータセキュリティとテクノロジー全般の最新ニュースを担当しています。Twitterで@bobmcmillanをフォローしてください。メールアドレスは[email protected]です。
