米軍が使用していた2つのAndroidアプリに深刻な脆弱性--内部告発で明らかに

　米国時間12月20日に公開された米海軍の監察総監室の報告書により、米軍が使用していた2つのAndroidアプリに、実際の戦闘で使用した場合に影響を及ぼす、深刻な脆弱性が含まれていたことが明らかになった。

　アプリの名称は、KILSWITCH（Kinetic Integrated Low-Cost Software Integrated Tactical Combat Handheld）とAPASS（Android Precision Assault Strike Suite）。

　いずれのアプリも、物体、ミッション目標物、近くの敵軍や友軍など、周囲の状況の衛星画像を提供することで機能する。

　国防総省国防高等研究事業局（DARPA）のプレスリリースと付属のYouTubeビデオによると、これらのアプリは従来の無線でのやりとりや紙の地図を現代技術に置き換えたもので、戦闘部隊はリアルタイムのメッセージングクライアントを使用して、ほかの軍隊と調整したり、スクリーンをわずか数タップするだけで、空爆による援軍を要請したりできる。

　これらのアプリは2012年から開発され、2015年より国家地球空間情報局（NGA）が管理するアプリストアを通じて、すべての米軍部隊に提供されていた。

　しかし、12月20日に公開された米海軍の監察総監室の3月27日付けの報告書によると、両アプリには敵軍が戦闘部隊の情報にアクセスできる脆弱性が含まれていた。

　報告書は、編集済みの形でしか公開されておらず、2件の脆弱性に関する詳細は不明である。しかし、海軍がこれらのアプリ配布の管理を怠り、その後1年近く、危険に晒されていることを戦闘部隊に警告するのを怠ったと指摘している。

　また報告書によると、KILSWITCHとAPASSはそもそも、実際の戦闘地帯での使用を想定したものではなく、使用は承認されるべきでなかったという。

　開発者は当初、アプリが軍隊訓練と軍事演習で使用されると考えていたため、「サイバーセキュリティについては配慮していなかった」と報告書は述べている。

　しかし、人目を引く機能と使いやすいインタフェースから、米軍部隊に加え、そのほかの軍隊や外国連合軍の間でも人気が一気に広がった。

　海軍監察総監は、海軍はこれらアプリの特性について、戦闘部隊に忠告するのを怠ったと述べている。また監査官らは、海軍とそのほかの軍隊は、KILSWITCHとAPASSを戦闘地帯では使用しないように通達すると共に、徹底的なテストを経て、戦場での使用が国防総省から認められている、ATAK（Android Tactical Assault Kit）という別のアプリを使用すべきだったとしている。

　海軍監察総監によると、これら2つの脆弱性が明るみに出たのは、粘り強く訴え続けた内部告発者のおかげである。内部告発者の名前は、報告書で編集されているが、Anthony Kim氏という人物である。

　10月付けのThe Washington Free Beaconの記事によると、Kim氏は2017年3月に、KILSWITCHのAPASSの脆弱性を発見して、直属の上司に報告したが、無視された。

　同氏の弁護士がWashington Free Beaconに述べたところによると、Kim氏はその後、勤務していた米軍基地の指導部に問題を提起し続けるが、「DPSSの評判を落としめるような言動は慎むように」と言われる。DPSS（Digital Precision Strike Suite）は、これら2つのアプリ開発に関与した民間の軍事請負企業である。

　Kim氏はその後、国防総省の内部告発者プログラムを通じて、海軍の高官に脆弱性について報告した。そして、Kim氏の報告から1年以上経った今、調査官らはようやく同氏の申し立てを支持した。同氏はこの間、給与減額、懲戒休職、機密情報取扱権限の撤回といった報復人事を受けた。

　海軍監察総監の報告書が3月に完成後、海軍は6月に戦闘地帯でこれら2つのアプリを使用しないように正式な通達を行った。またDODは、Kim氏の機密情報取扱権限の復活させ、復職を認めた。