2 ポイント 投稿者 GN⁺ 2025-04-24 | 1件のコメント | WhatsAppで共有
  • CVEデータベース停止の危機は、米国連邦政府のサイバーセキュリティ体制が予算・人員・組織上の決定だけでも揺らぎ得ることを示している
  • 過去25年間、セキュリティ脆弱性の共通の参照点だったCVEが揺らげば、防御側は同じ脆弱性について話しているのか確認するのに時間を費やし、攻撃側はその混乱を利用できる
  • CISAは職員の3分の1以上が削減対象となり、MITREのCVE契約は期限直前に延長されたものの、2026年3月に再び満了する
  • NSA・US Cyber Commandのトップ解任、CSRBの事実上の解体、Salt Typhoon調査の中断、州・地方中心の備えへの転換、連邦補助金の削減が、連邦政府の防衛能力を弱めている
  • DOGEによる機密性の高い連邦システムへのアクセスも重なり、米国が自ら招いたセキュリティ弱体化は米国外の技術エコシステムにも影響を及ぼす可能性がある

CVE停止危機と脆弱性管理の混乱

  • Common Vulnerabilities and Exposures、すなわちCVEデータベースは、過去25年間、事実上すべてのセキュリティ脆弱性を整理してきた中核的なリストである
  • 元CISA長官のJen Easterlyは、CVEを、セキュリティチーム、ソフトウェアベンダー、研究者、政府が同じ参照体系で脆弱性を整理し議論できるようにするグローバルカタログだと説明している
  • CVEがなければ、組織ごとに異なるリストを使うか、リストなしで対応することになり、同じ問題について話しているのか確認する時間が増え、攻撃側はその混乱を利用できる
  • CVEを監督するCISAは職員の3分の1以上が削減対象となり、職員らは月曜の午前0時までに勤務を続けるか辞職するか選ぶよう通知された
  • MITREのCVE契約は期限直前に延長されたが、2026年3月に再び満了する予定である

CISAと連邦サイバー組織の縮小

  • CISAの人員削減と契約の不確実性は、CVEの継続性の問題と直接結び付いている
  • 以前であればCVE契約の延長は当然に近い判断だったが、次回延長されるかどうかは不透明なままである
  • CVEのような共通基盤が揺らげば、技術セキュリティ全般で脆弱性対応を調整することが難しくなる

サイバーセキュリティ高官と諮問機関の解体

  • NSAとUS Cyber CommandのトップであるTimothy D. Haugh大将は4月初めに解任された
    • 同氏は2016年の選挙後のロシアによる干渉への対応を含め、国家サイバーインフラ防衛における重要人物と評価されていた
    • 解任の背景として、極右の陰謀論者でありTrump側の人物であるLaura Loomerが同氏を嫌っていた点が挙げられている
  • Cyber Safety Review Board、すなわちCSRBは、重大なサイバーインシデントを調査するためにBiden政権で作られた組織だった
    • 全メンバーが任を解かれ、事実上解体された
    • 中国の「Salt Typhoon」ハッキングなど、重要なサイバー攻撃の調査が中断された
  • Salt Typhoon攻撃はTrumpと副大統領JD Vanceも標的にしていたが、政権がこの事案を重視していないとの批判を受けている

州・地方中心の備えと連邦支援の縮小

  • TrumpのAchieving Efficiency Through State and Local Preparedness大統領令は、備えの能力は州、地方、個人レベルで所有・管理されるのが最も効果的であり、連邦政府がそれを支援すると述べている
  • この命令は、サイバー攻撃、山火事、ハリケーン、宇宙天気までを、地域の意思決定と投資の対象に含めている
  • サイバー攻撃は特定の州だけにとどまらないため、50州がそれぞれ国家が支援するハッキングチームに対応する構図は非現実的だとの批判が出ている
  • Trumpは任期初期に、サイバーセキュリティ専用の連邦補助金プログラムの資金も削減した
  • 州政府が最高レベルのセキュリティ専門家を十分に雇用するのは難しい可能性がある

DOGEによる機密システムへのアクセスとデータリスク

  • Elon MuskのDepartment of Government Efficiency、すなわちDOGEは、機密性の高い連邦システムにアクセスした
  • アクセス対象にはTreasury Departmentの決済システムとSocial Security Systemが含まれていた
  • 当該データがどこかにコピーされ、それを見る権限や使用する権限のない人々がアクセスできるようになったようだ、との懸念が出ている
  • 外部からのサイバー防衛だけでなく、一般市民個人を狙う大規模なセキュリティ攻撃の土台になり得るデータまで露出した、との批判が続いている
  • ある保険会社で160万人分のSocial Security情報が盗まれた事件も、この文脈では小規模なものとして比較されている

米国外へ広がり得る影響

  • 米国は長年、技術セキュリティで主導的な役割を担ってきたため、連邦政府のサイバー防衛弱体化は米国内だけの問題にとどまらない
  • 最大の被害を受けるのは米国だが、世界中もその余波を感じる可能性がある

1件のコメント

 
GN⁺ 2025-04-24
Hacker Newsのコメント
  • これが一体どういう形で米国民の役に立つというのか?

    • MitreとCVEを止めるのは、公共・民間の双方で米国の利益に反する
      コストの観点では議論の余地はある。たとえばCVEデータベースに年5,000万ドルの価値があったのか、特に滞留している作業を考えるとそうだったのかは検討できる
      また、民間または半民間の代替サービスが生まれ、複数が競争することで改善される、という仮定もあり得る。リバタリアンのように、強制力の独占でないサービスはすべて民間が担うべきだと主張することもできる
      だが、良い論拠ではない。5,000万ドルは大きく見えるし、削減の余地はあるかもしれない。それでも、単にプログラムを終わらせるより、実際の運用分析を見たい
      2つ目の論拠はさらに悪い。NISTとNOAAは費用対効果の大きい機関の例であり、営利版NISTや営利版NOAAはあまり筋が通らないように見える。それでも、公的資金によるサービスと民間版の長所・短所を一般論として比較する価値はある。悪い論拠でもないよりはましだが、現政権はそうした論拠すら示していない
    • 役には立たない。ポピュリスト右派の人的資本不足が生んだ副作用だ
      これが権利の抑圧に使われるという陰謀論は多く、最終的にはそうなるかもしれない。だがそれは、拙いやり方の結果に対する事後的な反応に近いだろう
      今のTrump政権の通念は、こうしたサイバーセキュリティプログラムは金の無駄で、民間部門が魔法のように現れて私たちを救ってくれる、という考えだ
      これから誰もが、低い人的資本の高い代償を味わうことになる
    • 現経営陣が本当に米国民を助けることに関心がある、と仮定しているのでは?
    • ロシアに対して、もはや直接的な脅威ではないというシグナルを露骨に送ろうとした試みだったのだと思う。来たる世界戦争で二正面戦争を避けようとする無駄な試みということだ
      残念ながら、PutinはドイツのFulda Gapまで侵攻を続ける可能性が高い。私たちがまだNATOに属しているなら、宣戦布告せざるを得なくなるだろう
    • 政府予算を節約しているつもりなのだろう。何か陰険なことが起きているというより、政府のスプレッドシート上の数字だけを見て判断しているのに近い
      Trump政権は、内在的価値とは関係なく米国外の人々にも利益をもたらすプロジェクトに資金が使われているのを見て、米国の金が他国に使われていると思い込んでしまう
      十分に賢くも、十分に詳しくもなく、学んだり、より賢い人たちの話を聞いたりする気もあまりない。理解できない予算項目を見ると、なくしてもよいと考える
      本当に重要なら誰かが事業化するだろう、という仮定が根底にあるようだ
  • Signalのチャットは、政府をデータ流出や外国の影響力にさらすことに比べれば枝葉にすぎない
    https://www.newsweek.com/doge-whistleblower-stalked-threaten...

    • 保守寄りの家族はFox News、OAN、それにFox Newsがさらに愚かになろうとしたような保守系ミームサイトTwitchyしか見ない
      彼らはこういうことを目にしない。まともな報道がない。母は関税の範囲も、DJT暗号資産詐欺も知らなかった。Signalについても何度も説明したが、複雑なことは本当に理解しない
      母は「Trumpが無礼な人なのは分かっている」と言いながらも、引用すると「米国人のための米国」を望み、中国を本来の位置に押し戻し、国境を守ってほしいと思っている
      父に「米国がなぜあれほど強力で影響力があると思う? 世界に投資し、学生を米国に受け入れているからだ。私たちは理由もなく世界の中心にいるわけではない」と言ったら、ただ「私たちは世界の中心だ」と答えた
      私たちの国は、抽象的思考ができず、嘘に依存している人々で満ちている
  • 予算は本質ではなく、注意をそらす要素だ。民間のサイバーセキュリティ体制を解体することは、大衆を影響工作やその他の被害にさらし、後でより多くの「強い指導者」型の解決策を必要にさせる方法だ [0,1]
    「サイバー防衛」を破壊してからでなければ、危機を主張し、「サイバーセキュリティは死んだ、新しいサイバーセキュリティ万歳」と宣言することはできない
    そしてそれは、あなたのためのセキュリティでは決してないだろう
    [0] https://cybershow.uk/blog/posts/computer-security-is-a-polit...
    [1] https://cybershow.uk/blog/posts/usw/

  • 記事は少し薄い。CVE予算がほぼ打ち切られかけたことは確かに悲劇的だが、NLRBからデータを抜き取り、全員をアカウントから締め出した件には触れておらず、サイバーセキュリティの連邦補助金とCISA予算の削減も短く扱っているだけだ
    Trump政権とMuskのDOGEチームが実際にどれほど無能かを示す材料は、はるかに多い

    • https://www.npr.org/2025/04/15/nx-s1-5355896/doge-nlrb-elon-...
      DOGEの職員たちがNLRBのAzureアカウントで自分たちの活動を隠そうと意図的に努めた状況を、かなり詳しく扱っている。政府の透明性にとっては、きっと良いことなのだろう
      Berulisの告発によると、DOGEがNLRBのシステムにアクセスしてから数分以内に、ロシアのIPアドレスを持つ何者かがログイン試行を始めたという。その試行は「ほぼリアルタイム」だった
      ログイン試行はブロックされたが、特に懸念すべきものだった。ログインしようとした人物は、新しく作られたDOGEアカウントの1つを使用し、正しいユーザー名とパスワードを知っていたという
    • 彼らは実際の目的に関してはかなり有能だ。目的は米国を偉大にすることではなく、ばらばらにして、途方もない富裕層が土地も含めてあらゆるものを二束三文で買い集められるようにすることだ
    • 選挙の安全を守ったChris Krebsに標的を付けたことも忘れてはならない
    • これは記事ではなく、オピニオンコラムだった
  • 米国政府に依存しない、CVEのようなデータベースが必要なのかもしれない。ITの世界そのものの弱点だ

    • 米国政府はこの種の仕事をかなりうまく担ってきたほうだ。概して信頼でき、収益性の高い国際的な輸出品を守るために多少の資金を投じる余裕があり、プラットフォーム所有者がマーケティング目的で問題を隠したり意図的に曖昧にしたりしても責任を問える
      過去10年のCVEの歴史を知ったうえで、真面目に誰を提案できるのか? CiscoやOracleに下請けに出すのか?
    • CVE側は資金源を多様化しようと取り組んでいる
      https://www.thecvefoundation.org/
  • 突飛な考えだが、単一の組織が廃止する権限を持てないように、CVEを複数の国に分散させたらどうだろう?
    米国が協力しなくても公開データベースではないのか? 国連、EU、英国、オーストラリアなどがコピーして共同CVEを立ち上げるのを阻むものはあるのか?

  • Trumpは「すべてがコンピューターだ」という事実に二度目の驚きを覚えることになるだろう

  • これはサボタージュだが、誰がやったのか?

  • Washington Monument syndromeはMount Rushmore syndromeまたはfiremen first principleとも呼ばれ、米国政府機関が予算削減に直面したとき、政府が提供するサービスのうち最も目に付きやすい、または高く評価されているサービスを削減する現象を指す用語である」
    https://en.wikipedia.org/wiki/Washington_Monument_syndrome

    • この場合に当てはまるかはよくわからない。HN界隈を除けば、一般大衆はサイバーセキュリティにどれほど関心を持ち、理解しているのだろうか?