NSA、「Heartbleed脆弱性を情報収集に利用していた」とする報道を否定

　米国家安全保障局（NSA）は11日、OpenSSLの“Heartbleed”と呼ばれる脆弱性を、NSAが情報収集に利用していたとする米Bloombergの報道に対して、否定する声明文を発表した。

　Bloombergでは、この問題に詳しい2人の関係者の話として、NSAは少なくとも2年前にはHeartbleedの脆弱性について認識していながら放置し、定期的に重要な情報を収集するために利用していたと報じている。

　NSAはこの報道に対する声明文を発表。NSAや政府機関がHearbleedの脆弱性を2014年4月より前に知っていたというのは誤りで、民間のセキュリティ企業などが公表するまで連邦政府は脆弱性を認識していなかったと説明。政府のウェブサイトやその他のオンラインサービスでも利用者のプライバシー保護のためにOpenSSLを使用しており、もし先に脆弱性を発見していたならば、OpenSSLのコミュニティに連絡していただろうとしている。

　また、連邦政府機関がソフトウェアのゼロデイ脆弱性を発見した場合には、それを捜査や情報収集の目的で放置するよりも、責任を持って情報を提供することの方が国家の利益になると説明。この問題に関する大統領諮問委員会からの勧告を受け、ホワイトハウスでは省庁間での脆弱性共有プロセスについて見直しを進めており、このプロセスは明確な国家安全保障や法執行の必要性がない限り、責任を持って脆弱性を公表する傾向だとしている。