NSA、「Heartbleedを2年前から悪用してきた」報道を否定

[佐藤由紀子，ITmedia]

　米国家安全保障局（NSA）は4月11日（現地時間）、NSAが少なくとも2年前から「Heartbleed Bug」を認識しながら放置し、情報収集のために利用していたとする米Bloombergの同日の記事を公式Twitterで否定し、声明文を発表した。

「NSAは最近特定されたHeartbleedの脆弱性について、公にされるまで知らなかった」

　Bloombergは、この件に詳しい2人の関係者の話として同記事を掲載した（現在この記事は更新され、NSAからの反論が反映されている）。

　NSAは声明文で、「NSAやその他の政府機関がHeartbleedと呼ばれる脆弱性に2014年4月以前に知っていたという報道は誤り」で「連邦政府がもし先週より前にこの脆弱性に気づいていれば、OpenSSL関連コミュニティに報告していただろう」としている。

　NSAはまた、連邦政府はバラク・オバマ大統領が任命した第三者専門家チームのアドバイスに基いて脆弱性情報公開のプロセスを改善したという。このプロセスは「国家安全保障あるいは法執行上の明確な必要性がない限り」という条件付きで、発見した脆弱性について公表する傾向にあるとしている。