米NSA局長曰く、発見した脆弱性のほとんどは公表している

米国家安全保障局(NSA)では発見したソフトウェアの脆弱性のほとんどを公表するが、状況によっては公表せず情報収集に利用することをマイケル・ロジャーズ局長が明らかにした(Threatpostの記事、本家/.)。

ロジャーズ局長は、発見した脆弱性を基本的に公表するようオバマ大統領から指示されたそうだ。ただし、NSAでは米国内のネットワークを守る一方で、時には発見した脆弱性を利用してでも国外のネットワークから情報収集する必要がある。オバマ大統領もこの二面性は理解しており、脆弱性情報を公表しない状況について説明したという。そのため、NSAでは脆弱性による影響の大きさや、他国が発見する可能性、脆弱性を利用せずに情報収集する方法があるかどうかといった要素を考慮して脆弱性を公表するかどうかを決めているとのこと。

なお、NSAが以前からHeartbleed脆弱性の存在を認識しており、情報収集に利用していたとする噂については改めて否定。NSAがHeartbleed脆弱性を認識したのは4月7日のことであり、4月8日にはパッチを作成して民間と共有したとのことだ。　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | バグ | IT | アメリカ合衆国 | 政府

　関連ストーリー：
米国家安全保障局、プライバシーに敏感なインターネットユーザーを監視対象に 2014年07月05日
TrueCryptの開発中止に米当局が関与していたという説 2014年06月04日
米国家安全保障局、Cisco製品にバックドアを仕込んでいた？ 2014年05月16日
米国家安全保障局が暗号をツイート、その内容はスタッフ募集 2014年05月12日
NSA、大規模なハッキングを目的として自動システムを開発していた 2014年03月18日
米当局内部の情報セキュリティは甘かった？ 2014年02月12日
NSAとRSAへの抗議のためセキュリティ専門家8名がセキュリティ会議への参加を拒否 2014年01月15日
NSAによる米国内の通話記録データ収集、阻止できたテロリストの活動は1件もなし 2013年12月23日
NSA局長、通話記録の収集よりもいい方法があるなら教えてほしいと発言 2013年12月15日
SF作家チャールズ・ストロス氏、作品のアイディアをNSAが先に実行してしまったために執筆を断念 2013年12月15日
米英の情報機関、ネットゲーム内へも「潜入調査」していた 2013年12月11日
米NSA、契約内容は紙の資料で管理しているため、キーワードを指定した抽出は困難と回答 2013年11月30日