Latest updates: read more about the RTB complaints.
Braveは国家安全保障上の深刻なぜい弱性について、米国上院と下院の国土安全保障議会に書簡を送付しました。
本日送付したこの書簡の中で、従来のウェブブラウザでは外国政府がオンラインのターゲット広告を使用して米国政府のコンピュータ上でコードを実行することが可能であることを警告しました。
連邦政府機関や職員が使用しているコンピュータやデバイスは、外国政府や犯罪者による「マルバタイジング」を使用したサイバー攻撃に対してぜい弱です。米国国家安全保障局は、「広告がマルウェアの感染経路になっていることは10年以上も前から知られている」と報告しています。
Braveは委員会に、セキュリティ保護に関する機能をウェブブラウザごとに比較した表を提出しました。そして、全連邦職員にマルバタイジングをデフォルトでブロックするウェブブラウザが確実に提供されるよう要請しました。
なおBraveは本日、次世代Brave 1.0を全プラットフォーム向けにローンチいたします。
国土安全保障・政府問題委員会委員長 Ron Johnson殿
国土安全保障・政府問題委員会ランキングメンバー Gary Peters殿
国土安全保障委員会委員長 Bennie G. Thompson殿
国土安全保障委員会ランキングメンバー Mike Rogers殿
2019年11月13日
米国の連邦政府機関と職員が使用するデバイスの「マルバタイジング」サイバーセキュリティの脅威について
親愛なるJohnson上院議員、Peters上院議員、Thompson下院議員、Rogers下院議員、
私は、サンフランシスコを拠点とする急成長中のインターネットブラウザ企業Braveを代表する者です。BraveのCEO、Brendan Eich はJavaScriptの発明者であり、Mozilla/Firefoxの共同創業者でもあります。Braveはサンフランシスコに本社を置いています。私は、外国政府や犯罪者による「マルバタイジング」を介したサイバー攻撃から連邦政府機関や職員が使用するコンピュータやデバイスを保護する措置をとることを強く要請いたします。
この問題は、国家安全保障局(NSA)からの公的指導の対象となっております。ご参考までに、そのガイダンスを添付しております。
NSAは2018年6月、外国政府がターゲット広告を購入し、その広告の本文に悪意あるコードを書いて広告を配信することで、米国政府のコンピュータ上でソフトウェアを実行させることが可能であると警告しています。政府機関が使用しているウェブブラウザは、このような広告を自動的にブロックしないので、政府のコンピュータやデバイスはマルバタイジングの攻撃を防げません。
NSAは、「ウェブブラウザには大きなサイバーセキュリティリスクがある」こと、「悪意をもつ人物が『マルバタイジング』を使って、場所、興味、閲覧習慣、システム固有の識別子に基づいてユーザーをターゲットすることが可能である」ことを警告しています。
2017年、Wyden上院議員は国土安全保障省に対し以下の要請を出しました。ソフトウェア実行可能コードを含むインターネット広告をブロックすることを全政府機関に命じる拘束力のある運用指令を発行することです。ワイデン上院議員は、2018年12月に再びこの要請を行いました。これらの書簡をご参考までに添付いたします。
Wyden上院議員が、マルバタイジングがもたらす深刻な脅威を主張してから2年が経ちました。NSAが実際に「広告がマルウェアの感染経路になっていることは10年以上も前から知られている」と指摘しています。それにもかかわらず、連邦政府機関のコンピュータやデバイスはぜい弱なままです。外国のスパイが、米国政府のデバイス上でソフトウェアコードを実行する手段をクレジットカードで購入するといったことがあってはなりません。
マルバタイジングを介したサイバー攻撃から組織を守るための対策をするかどうかは各職員が個々に決定する必要がある状況です。以下の表に、ウェブブラウザのさまざまなセキュリティ保護をまとめました。
広告がもたらす国家安全保障上の脅威が深刻にもかかわらず、広告業界がこの脅威に対し意味のある対策をとれていないのが現状です。以上を踏まえて、貴委員会には、国土安全保障省と国立標準技術研究所にマルバタイジングへのウェブブラウザのぜい弱性を精査した上で連邦政府機関にブラウザのリスクについて指導するよう指示していただきたく要請いたします。
NSAは2018年に、全連邦政府機関にむけて「マルバダイジングに対処するために潜在的に悪意のあるインターネット広告をブロックする」ことを勧告しました。今こそ、全連邦職員にマルバダイジングをデフォルトでブロックするウェブブラウザの提供を必須にするべきです。
この機会に、次世代Brave1.0を全プラットフォーム向けにローンチされることをお伝えいたします。
敬具
Johnny Ryan博士
チーフ・ポリシー&インダストリー・リレーションズ・オフィサー
Brave Software Inc.
CC(送付先):
Ron Wyden上院議員
Paul M. Nakasone陸軍大将、米国家安全保障局長官
Christopher Krebs、米国サイバーセキュリティ・インフラセキュリティ庁長官
Walter G. Copan博士、国立標準技術研究所所長
Attachments:
National Security Agency guidance “Blocking unnecessary advertising web content”.
Letter from Senator Wyden to Rob Joyce, White House Cybersecurity Coordinator.
Letter from Senator Wyden to Christopher Krebs, Director, US Cybersecurity and Infrastructure Security Agency, at the Department of Homeland Security.