AT&TとVerizon、Salt Typhoonセキュリティ評価報告書の公開を阻止

 (reuters.com)
1 ポイント 投稿者 GN⁺ 2026-02-11 | 1件のコメント | WhatsAppで共有
  • 米通信事業者 AT&TとVerizon が、Salt Typhoon に関する セキュリティ評価報告書の公開を阻止している
  • 米上院議員 は、両社が 政府のサイバーセキュリティ調査結果の公開を妨げている と指摘
  • この報告書は、中国と関連するハッキンググループ Salt Typhoon の活動評価 を扱うものとされる
  • 両通信事業者は、機密保持とセキュリティ上の理由 により報告書の公開を拒否したと伝えられている
  • 今回の件は、国家安全保障と民間通信インフラの透明性の問題 をめぐる論争につながっている

Salt Typhoonセキュリティ評価報告書公開をめぐる論争

  • AT&TとVerizon が、Salt Typhoon関連のセキュリティ評価報告書の公開を阻止
    • 報告書には、米国内の通信インフラに対するサイバー脅威評価 が含まれる
    • 政府機関の調査結果 に基づいて作成された文書
  • 米上院議員 は、両社が 国民の知る権利とサイバーセキュリティの透明性を損なっている と批判
    • 報告書には、中国と関連するハッキンググループ Salt Typhoon の活動分析 が含まれているとされる
  • 両社は、セキュリティ上の理由と機密保持義務 を根拠に公開を拒否
    • 具体的な法的根拠や詳細内容は公開されていない

政治的・業界的な波紋

  • 今回の事件は、国家安全保障と民間通信事業者の責任範囲 をめぐる議論に拡大
    • 政府と民間の情報共有体制 に対する問題提起が発生
  • 通信インフラのサイバー脅威対応体制 が十分かどうかについて疑問が提起されている
    • セキュリティ評価結果の非公開 が今後の政策議論に影響を与える可能性がある
  • 現時点で、報告書の具体的な内容や公開日程 は確認されていない

関連記事

1件のコメント

 
GN⁺ 2026-02-11
Hacker Newsの意見
  • 以前、3Gデータノードの合法的傍受(lawful intercept)機能の仕様書を書いたことがある
    中核となる設計原則は、ネットワーク運用会社を    信頼しない構造    だった。そうすることで、組織犯罪の影響から従業員を守れるためだ
    傍受は法執行機関のLIコンソールから開始され、ネットワーク運用者はそれを知らない。トラフィックの約3%まで傍受できるよう設計されており、ログや管理ツールにも表示されない
    しかし、もしハッカーがLIコンソールに侵入すれば、設計上、検知されないまま特定のトラフィックを精密に奪取できる
    複数のベンダーがLIコンソールソフトウェアを供給し、標準化されたプロトコルを使っているため、問題が起きても責任の所在を特定しにくい
    • 米国の大手通信事業者のネットワーク運用チームで働いていたが、一部のエンジニアは傍受が入っているノードをコールフロー分析でおおよそ見当をつけていた。完全に隠されていたわけではない
    • LIコンソールが正確に何で、どこに設置されているのか気になる
    • RAVENシステムのことを言っているのだろうか
  • 政府が通信事業者に合法的傍受機能を義務付け、その政府が要求したバックドアを悪意ある行為者が悪用している。それでも政府がセキュリティやプライバシーを語るのは偽善的だ。結局は、より良い政治家を選ぶ必要がある
    • 以前セキュリティコンサルタントとして働いていたとき、傍受用ハードウェア機器を作る会社を担当していた。この機器は、通信事業者が設置するだけで政府要件を満たすブラックボックス機器だった
      しかし、セキュリティテストではユーザーネットワークだけが許可され、製品自体には絶対に触れるなという指示があった。内部のセキュリティ水準を見る限り、その機器はすでにかなり前に侵害されていた可能性が高い
    • 政治家を変えることも重要だが、根本的には政府の構造的問題
      1. 問題を誤解したまま法案を提案 → 2) 可決されるが新たな問題が多数発生 → 3) その問題を解決すると言って再び選挙に出る → 4) 無限ループになる
    • 問題の本質はバックドアそのものではなく、通信事業者のセキュリティ不備だ。傍受システムは法的に存在しなければならないが、大手通信事業者は複雑でセキュリティ統制が弱い
      こうした環境は国家ハッカーの主要な標的になり、Salt Typhoonの事例がそれを示している。傍受システム自体がハッキングされていなくても、コールルーティングや課金システムが掌握されれば非常に危険だ
    • 政府がプライバシーを掲げているという主張には同意しない。実際には、AT&TとVerizonがMandiantのセキュリティ評価報告書の公開を阻止している
    • これらすべてが推測なのか、すでに確認された事実なのか気になる
  • これはすべて、1994年制定のCALEA(通信支援法)のおかげで可能になった。結局、政府が作った侵入経路を自ら抱え込むことになったわけだ。今こそ、こうした政府義務のバックドアを取り除くべきだ
  • 10年前にVerizonで働いていたとき、外部のセキュリティチームが監査に来て、Windows Jenkinsコンソールひとつで3〜4時間のうちにネットワーク全体を掌握した。それほど内部のセキュリティは杜撰だった
  • 今では中国をはじめ、複数の国家や個人が通信傍受システムにアクセスできる状況だ
    その一方で、アクセスできないのは一般ユーザーだけだ
    こうしたシステムは結局、恐喝材料の収集や政治目的の司法操作に使われるだけだ。すでに暗号化メッセージングが広く使われているのだから、こうした監視は不要だ
  • こうした報告書の公開を阻止することは、システムリスク管理に大きな打撃を与える
    侵害経路が公開されなければ、他のインフラ業界は完全に盲目の状態に置かれる。企業の評判を守るために共同のセキュリティを犠牲にしているようなものだ
  • DatadomeスクリプトのないMSN記事リンクテキスト版リンクを共有する
    (驚くことにMicrosoftがHTTPで配信している)
    • HTTPSからHTTPへ後退した理由が気になる
  • 通信事業者は、自分たちが作ったバックドアとずさんな管理が露呈するのを望んでいない
    無線通信事業者だけでなく、Comcast、Cox、Charterのような家庭向けISPもさらにひどいレベルで無能だ。複数の会社を渡り歩きながら実際に経験した
  • こうした事態は、米国が権威主義的な政策をまねようとして失敗した事例
    セキュリティ・監視・技術力のすべてで中国に追いつけないまま、かえって内部を弱体化させている
    景気悪化と大規模なレイオフによる頭脳流出が加速し、それが中国の技術的優位をさらに強める悪循環になっている
    • 今の状況はまるで冷戦時代の米ソ対立が逆転したような感じだ