Electronic Frontier Foundation(EFF)は、米国国家安全保障局に対して訴訟を起こしました。
EFFは、情報の自由に関する法律に従って、コンピューターの脆弱性に関する情報の機密解除を決定する際に政府を支配する規則を説明する文書を公開することを要求しています。
機密解除された情報の「公共の重要性」に関する情報の自由に関する法律の第552項に正確に対応するため、訴訟は満たされる可能性が高い。 この場合、それはNSAの公開討論のプロセスを準備する最初のステップになります。
エージェンシーは以前、間接的に、特定の条件下でゼロデイ脆弱性に関する情報を開示しないことを明らかにし、それらを使用して国家安全保障の目的でインテリジェンスを収集しました。
EFFの弁護士は、脆弱性に関する情報を隠すことは、ユーザーが他の国のハッカーやintelligence報機関より先に無防備であるという事実につながるという立場を述べました。
したがって、NSAが自身のニーズのために0dayの脆弱性を隠蔽していることを公式に認識するとすぐに、NSAの過失によるこれらの未解決の脆弱性のために実際に苦しんだ人々からすぐに新しい訴訟が発生する可能性があります。
「米国政府機関や外国政府を含む多くのバイヤーが0day脆弱性を購入するグローバル市場が繁栄しています」とEFFの声明は述べています。 -この市場での取引条件では、通常、売り手は脆弱性情報を第三者に開示することを拒否する必要があります。 その後、購入者は受け取った情報をどのように使用するかを決定します。
訴訟では、OpenSSLライブラリの既知のHeartbleed脆弱性に言及しています。 NSAがこの脆弱性を最初からほとんど知っていた、つまり2年半前にOpenSSLに導入されてから信じていた理由があります。 少なくとも、NSAにはオープンソースプロジェクトのバグを見つけるための特別な部門があることが知られています。 これらの部門のスタッフは、オープンソースプロジェクトのセキュリティを改善するために働いているボランティアの数を超えています。