NSA、米国内インフラシステムの脆弱性を秘密裏に調査--「Perfect Citizen」プログラム

　米国家安全保障局（NSA）の機密プログラムが、公益設備を制御するコンピュータシステムを対象とし、セキュリティの脆弱性の発見を目指していることが、新たに開示された文書で明らかになった。こうした脆弱性は、米国の防衛や他国のインフラ破壊に使用される可能性がある。

　この文書によると、NSAの通称「Perfect Citizen」プログラムは、送電網や天然ガスのパイプラインを含む「大規模な」公益設備をコントロールしているコンピュータ化された制御装置に対して、「脆弱性の調査と研究」を実施するという。このプログラムは、少なくとも2014年9月まで継続される予定だ。

　電子プライバシー情報センター（EPIC）が入手し、米CNETに提供されたこのPerfect Citizen関連文書は、組み込まれた制御装置をNSAがどのような方法で防御（および攻撃）しようとしているかを解明している。NSAは産業システムを狙うマルウェア「Stuxnet」を開発したと報じられているが、これはBarack Obama米大統領がイスラエルの協力を得てイランの核開発計画に対して使用するよう秘密裏に命じたとされるものだ。

　EPICが先ごろ情報公開法（FOIA）を通じて入手した190ページにわたるNSAのPerfect Citizen関連文書は、大幅に改変されている。少なくとも98ページはさまざまな理由で完全に削除されており、こうした理由の1つとして、NSAで情報公開室長を務めるPamela Phillips氏が添えた書簡によると、これらの箇所は「最高機密に分類」されており、公開されれば「国の安全保障に極めて重大な損害を及ぼす」おそれがあるという。

　ただし、公開された箇所には、RaytheonがPerfect Citizenの構築にあたって最大9100万ドル規模の契約を請け負ったことが示されている。それによると、Perfect Citizenは、「政府がシステムを防御することを可能にする」ものであり、とりわけ、民間部門によって運用される「広範囲に配置された公益設備」のシステムが対象になるという。

　焦点となっているのは、「高感度制御システム」（SCS）と呼ばれるもので、これは「インフラの諸手順の自動化を実現する」システムだという。Raytheonはハードウェアおよびソフトウェアのエンジニアを最大28人雇用することを許可されており、これらのエンジニアは「特定のSCSおよび機器に対して脆弱性の探査と研究を行い、その結果を調査して文書化する」ことになっている。

　エンジニア職の1つ、上級ペネトレーション（侵入）試験者についての業務説明によると、この役職は「脆弱性を特定して実証する」もので、Nmap、Tenable Network SecurityのNessus、Libnet、Netcatなど、セキュリティ関連ユーティリティの使用経験が必要だという。Raytheonは、この業務がNSAのために実施されることを公表しないよう求められている。

　NSAの広報担当官は米CNETの過去の取材に対し、Perfect Citizenは「純粋な脆弱性評価と機能開発の契約」であり、「公益事業会社のシステムの通信を監視することや、センサーの設置に関与することはない」と回答していた。