「NSAとRSAに密約」とロイターが報道、RSAは否定

RSAがNSAの依頼で暗号化ライブラリ「BSAFE」に脆弱性のある乱数生成器を組み込んだとロイターが報じた。RSAは「断固として否定する」と表明している。

» 2013年12月24日 13時12分 公開
[ITmedia]

 米国家安全保障局(NSA)が機密情報を収集していた問題に関連して、Reutersは12月20日、EMCセキュリティ部門のRSA SecurityがNSAと密約を交わし、1000万ドルを受け取っていたと報じた。報道に対し、RSAは23日に公開したブログで「断固として否定する」と表明した。

 Reutersによると、RSAはNSAから1000万ドルを受け取り、NSAの依頼で同社の暗号化ライブラリ「BSAFE」の疑似乱数生成器に、欠陥があるとされた「デュアルEC DRBG」を組み込んだという。デュアルEC DRBGは、複数のセキュリティ専門家が欠陥を指摘しており、米国立標準技術研究所(NIST)も9月に使用を控えるように呼び掛けていた。

 これについてRSAは、ブログで(1)デュアルEC DRBGは2004年に複数採用された技術の1つであり、当時のNSAは信頼できる機関として暗号を危殆化させるような存在ではなかった、(2)2007年にデュアルEC DRBGの問題が浮上しても当社はNISTに従った、(3)NISTの新たな指針を当社は顧客に推奨すると同時に、メディア公開の場でその是非を議論した――と説明。

 さらに、「当社はセキュリティ企業であり、顧客との関係について詳しく明らかにすることは無いし、バックドアのようなものを製品に混入させたり、製品を脆弱にしたりすることにつながる、いかなる計画や契約にも関わったことなど無い」と断言している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ