いまさらですがVault7について

WikileaksがCIAの秘密情報「Vault7」を発表して1週間以上が経過しました。

Wikileaks側が結構煽るスタイルをとっていることもあり、それをそのまま報じるところも多い印象ですが、実態としては「こんなもの?」というのが率直なところです。

Vault7で暴露された情報の中には、(日本製が多いとおぼしき)顔文字だとか、なぜか「トライガン」なども含めた画像・GIFアニメ、そしてマルウェアを作る上での実践的な注意点などもあるものの、本筋は各種のコンピュータへの侵入や組織構造です。

いくつかの記事では明確に指摘されている通り、これらの情報はいずれも「Mass surveillance(一般的には監視社会)」には関係がありません。あくまで個別の端末に対するハッキングが基本です。

もちろん資金や人材がある分、時には出回っている既存マルウェアをパクったり(侵入者を誤解させる効果もある)、ゼロデイを自ら見つけたり購入したりできますが、あくまで個別の話です。地引網のように一括大量 監視という手法ではありません。その点で、エドワード・スノーデン氏の暴露と比べると、かなりマイルドな内容という印象を受けます。

「ゼロデイをくらったら侵入されてしまうのでは?」というのは正しいのですが、たとえゼロデイを使っても、限界はあります。今回出ている内容を見る限り、(自動車への干渉などは別として)CIAも一般のクラッカーも、基本的なところは同様という印象です。

という手順になるでしょう。

それぞれで「確率を下げる」対応をとることで被害を軽減できるはずですし、それはCIAに限らず一般的な攻撃に対して有効なので、まじめに取り組む価値があるといえると思います。

また、個人レベルでも、暗号化メッセージアプリ(Signalなど)には侵入できてないとみていいでしょう。Vault7で出ていたのはOSレベルで侵入しているので、メッセージアプリレベルの話ではありません。

Vault7の情報はやや古いことなども含めて、他の様々な脅威もありうるので、油断はできませんが。