更新: Steve Gibson 氏は、Ars が使用した「ゴールデン キー」という用語に異議を唱え、この用語は脆弱性の重要性を誇張しすぎていると主張しました。

私はサンバーナーディーノ銃乱射事件の前に、テロ攻撃に直面しても Apple が暗号化を堅持することがなぜ正しいのかについて意見記事を書き、その後には、FBI が要求する iPhone のマスターキーを渡すことがなぜ危険すぎるのかを説明する別の記事を書きました。

私の主張は、iPhone のロックを解除するマスターキーのような強力なものが、最終的には悪者の手に渡ってしまうということだ。

すぐにFBIが鍵を握るようになり、その後他の法執行機関もその鍵を握ります。 やがて、その鍵はすべての警察署の建物に保管されるようになります。そうなれば、その鍵にアクセスできる100万人以上の人々が規則を遵守することを信頼することになります。政府機関は、必ずしもその点で優れた実績 を持っているわけではありません。

そしてマイクロソフトは、同社の所有から離れることを意図していなかったコードであっても、私の主張を証明したのです…

ArsTechnicaは 昨日、Microsoftが誤ってWindowsへのユニバーサルバックドアを漏洩したと報じた。

マイクロソフトは、いわゆる「ゴールデンキー」を誤って漏洩させたことで、自社のソフトウェアにユニバーサルバックドアを組み込むというセキュリティ上の本質的な問題を、うっかり実証してしまった。ゴールデンキーは、ユーザーがスマートフォンやタブレットなど、セキュアブートによって保護されているはずのあらゆるデバイスのロックを解除することを可能にする。

このキーにより、基本的に誰でも、Windows 8.1 以降を実行し、セキュア ブートが有効になっているすべてのデバイス上で、悪意のあるバージョンの Windows がインストールされるのを防ぐために Microsoft が表面上は導入した規定を回避できるようになります。

マイクロソフトは本日、今回の漏洩の重要性を軽視し、Surfaceデバイスとスマートフォンのみに適用され、デスクトップには適用されないと強調したが、それは本質的な問題ではない。一部のデバイスを完全に侵害することを可能にする重要なコード、つまり厳重に保護されるべきコードが漏洩したのだ。

悪意はまったく必要ありませんでした。漏洩は誰かが愚かではあるものの、人間的なミスを犯した結果であるようです。

ゴールデンキーは、デバッグツールとして誤って残され、休眠状態で市販のデバイスにバンドルされていたようです。

研究者たちも、FBI の事件との類似性に衝撃を受けた (リンクをクリックする前に音声をオフにしてください。彼らの Web サイトは、Geocities の時代のもののようです...)。

FBIについて：これを読んでいますか？もし読んでいるなら、これは「安全な黄金の鍵」を使って暗号システムにバックドアを仕掛けるというあなたのアイデアがなぜ非常にまずいのかを示す、まさに現実世界における完璧な例です！私よりも賢い人たちがずっと前からあなたにこのことを言っていますが、あなたは耳を塞いでいるようですね。

コードに関しては、すでに公開されており、Microsoft がこれを完全に修正するのは不可能と思われます。

研究者らによると、「インストールメディア、リカバリパーティション、バックアップなどが壊れるため、MS が特定の時点より前にすべての bootmgr を無効にすることは実際には不可能です。」

これは社内でのみ保管されることを意図したコードです。法執行機関に引き渡されることが避けられないコードは、その脆弱性を百万倍も高めることになります。だからこそ、iPhoneのロックを解除するためのマスターキーを作成するという圧力にAppleが抵抗したのは、全く正しい判断だったのです。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。