米軍が使用していた2つのAndroidアプリに深刻な脆弱性--内部告発で明らかに

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部 2018年12月21日 11時53分

  • このエントリーをはてなブックマークに追加
  • 印刷

 米国時間12月20日に公開された米海軍の監察総監室の報告書により、米軍が使用していた2つのAndroidアプリに、実際の戦闘で使用した場合に影響を及ぼす、深刻な脆弱性が含まれていたことが明らかになった。

 アプリの名称は、KILSWITCH(Kinetic Integrated Low-Cost Software Integrated Tactical Combat Handheld)とAPASS(Android Precision Assault Strike Suite)。

 いずれのアプリも、物体、ミッション目標物、近くの敵軍や友軍など、周囲の状況の衛星画像を提供することで機能する。

 国防総省国防高等研究事業局(DARPA)のプレスリリースと付属のYouTubeビデオによると、これらのアプリは従来の無線でのやりとりや紙の地図を現代技術に置き換えたもので、戦闘部隊はリアルタイムのメッセージングクライアントを使用して、ほかの軍隊と調整したり、スクリーンをわずか数タップするだけで、空爆による援軍を要請したりできる。

 これらのアプリは2012年から開発され、2015年より国家地球空間情報局(NGA)が管理するアプリストアを通じて、すべての米軍部隊に提供されていた。

 しかし、12月20日に公開された米海軍の監察総監室の3月27日付けの報告書によると、両アプリには敵軍が戦闘部隊の情報にアクセスできる脆弱性が含まれていた。

 報告書は、編集済みの形でしか公開されておらず、2件の脆弱性に関する詳細は不明である。しかし、海軍がこれらのアプリ配布の管理を怠り、その後1年近く、危険に晒されていることを戦闘部隊に警告するのを怠ったと指摘している。

 また報告書によると、KILSWITCHとAPASSはそもそも、実際の戦闘地帯での使用を想定したものではなく、使用は承認されるべきでなかったという。

 開発者は当初、アプリが軍隊訓練と軍事演習で使用されると考えていたため、「サイバーセキュリティについては配慮していなかった」と報告書は述べている。

 しかし、人目を引く機能と使いやすいインタフェースから、米軍部隊に加え、そのほかの軍隊や外国連合軍の間でも人気が一気に広がった。

 海軍監察総監は、海軍はこれらアプリの特性について、戦闘部隊に忠告するのを怠ったと述べている。また監査官らは、海軍とそのほかの軍隊は、KILSWITCHとAPASSを戦闘地帯では使用しないように通達すると共に、徹底的なテストを経て、戦場での使用が国防総省から認められている、ATAK(Android Tactical Assault Kit)という別のアプリを使用すべきだったとしている。

 海軍監察総監によると、これら2つの脆弱性が明るみに出たのは、粘り強く訴え続けた内部告発者のおかげである。内部告発者の名前は、報告書で編集されているが、Anthony Kim氏という人物である。

 10月付けのThe Washington Free Beaconの記事によると、Kim氏は2017年3月に、KILSWITCHのAPASSの脆弱性を発見して、直属の上司に報告したが、無視された。

 同氏の弁護士がWashington Free Beaconに述べたところによると、Kim氏はその後、勤務していた米軍基地の指導部に問題を提起し続けるが、「DPSSの評判を落としめるような言動は慎むように」と言われる。DPSS(Digital Precision Strike Suite)は、これら2つのアプリ開発に関与した民間の軍事請負企業である。

 Kim氏はその後、国防総省の内部告発者プログラムを通じて、海軍の高官に脆弱性について報告した。そして、Kim氏の報告から1年以上経った今、調査官らはようやく同氏の申し立てを支持した。同氏はこの間、給与減額、懲戒休職、機密情報取扱権限の撤回といった報復人事を受けた。

 海軍監察総監の報告書が3月に完成後、海軍は6月に戦闘地帯でこれら2つのアプリを使用しないように正式な通達を行った。またDODは、Kim氏の機密情報取扱権限の復活させ、復職を認めた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]