NSA alerted Microsoft to major Windows 10 security flaw

「NSA windows10」の画像検索結果

The National Security Agency recently alerted Microsoft to a major flaw in its Windows operating system that could let hackers pose as legitimate software companies, agency officials said on Tuesday.

Microsoft (MSFT) issued a software update on Tuesday to fix the vulnerability, as part of its normal schedule for releasing software patches.

News of the vulnerability and patch were first reported by independent journalist Brian Krebs, who said Microsoft provided its software fix to the military and key infrastructure companies ahead of Tuesday's public release.

legitimate 合法的な

vulnerability 脆弱性

「アメリカ国家安全保障局は最近Microsoftに、ハッカーに合法的にソフトウェア企業に成り済ますことができるwindowsのオペレーティングシステムに重要な欠陥があることを警告した、と当局は公式に火曜日に語った。Microsoftは火曜日に、ソフトウェアパッチのリリースのための通常のスケジュールの一環として脆弱性を修正するためにソフトウェアのアップデートを発した。脆弱性とパッチのニュースは独立ジャーナリスト Brian Krebsという、Microsoftがそのソフトウェア修正を火曜日の公のリリースの前にインフラ企業と軍事関連企業に与えたと語った人物によって初めて報道された。」

Microsoft said in a statement Monday night that it provides advance versions of its updates to some users under a special testing program. Jeff Jones, a senior director at Microsoft, declined to discuss specifics of the flaw "to prevent unnecessary risk to customers."

The company did not immediately respond to a request for comment on Tuesday.

「Microsoftは月曜日深夜の声明で、それは特別なテストプログラムの元でいくつかのユーザーにアップデートの促進バージョンを与えたと語った。Jeff Jones,Microsoftの古参ディレクターは、"消費者に不必要なリスクを妨げるための"欠陥の明確さについて議論することを拒んだ。その企業は火曜日に即座にコメントへの返答はしなかった。」

The NSA's rare announcement of the flaw, along with its decision to warn Microsoft rather than exploit the bug for intelligence purposes, underscores the magnitude of the threat it could pose to businesses, consumers and government agencies worldwide.

The NSA said that, while it has shared vulnerability information with the private sector in the past, this marks the first time that it has come forward publicly to do so. The agency said the decision reflects an effort to build trust with cybersecurity researchers.

「NSAのその欠陥によるまれな発表は、インテリジェンス目的でバグを悪用するという訳ではなくMicrosoftに警告するという決断とともに、世界中のビジネスや消費者、政府当局に及ぼす可能性がある驚異の広がりを記録している、NSAは過去にプライベートセクターで脆弱的な情報をシェアした一方で、これはそうすることを公に示した初の例だと語った。その当局はその決定はサイバーセキュリティの研究者とともに信頼を構築するための努力として反映される、と語った。」

"Part of building trust is showing the data," Anne Neuberger, the NSA's director of cybersecurity, told reporters on a conference call Tuesday. Because the NSA has never allowed itself to be linked to a vulnerability disclosure, she said, "it's hard for entities to trust that we take this seriously. And ensuring vulnerabilities can be mitigated is an absolute priority."

The NSA did not use the vulnerability to exploit adversaries, and the bug was turned over to Microsoft as soon as it was discovered, Neuberger added. She said the NSA has not detected any other entities using the bug.

disclosure 暴露 / 発覚

entities 実体

mitigate 軽減する

exploit 食い物にする / 搾取する / 功績 / 手柄

adversary 敵

detect 発見する / 検出する

「"信頼を構築するための１つにデータを開示することがある。"とAnne Neuberger　というNSAのサイバーセキュリティディレクターは火曜日に会議で報道記者に伝えた。NSAは一度も脆弱性の暴露に関連づけられたそれそのものを許したことがないので、彼女は"私たちが真剣にそれを受け止めていることを信頼するのは困難だ。そして、様々な脆弱性を軽減できるようにすることは、絶対的な優先事項だ。"と語った。NSAはこの脆弱性を使用して敵を悪用することはなく、そしてそのバグはできるだけ早く発見されてしまったMicrosoftに引き継がれた、とNeubergerは加えた。彼女はNSAはバグを使ってどんなその他の実体を特定しなかった。」

The Department of Homeland Security said on the call that it would issue a bulletin to federal agencies advising them to install the Microsoft patches immediately.

The flaw concerns a core Windows function that verifies the legitimacy of apps and programs, a feature known as CryptoAPI.

bulletin 公報 / 公示

verify 正しいことを確かめる / 実証する

「国土安全保障省は即座に電話で連邦当局に公報を発行し、Microsoftのパッチをすぐにインストールするように進めた。その弱点はCyptoAPIとして知られるもののようなプログラムやアプリの合法性を実証するコアなWindows機能に関係する。」

"It's the equivalent of a building security desk checking IDs before permitting a contractor to come up and install new equipment," said Ashkan Soltani, a security expert and former chief technologist for the Federal Trade Commission.

By compromising that validation feature, hackers could easily impersonate "good" software companies to install bad software, Soltani said, potentially allowing them to spy on computer users or hold their devices hostage for ransom.

contractor 契約者

impersonate ~に扮する / 役を演じる

hostage 人質

ransom 身代金

「"それは新しい設備をインストールし思考するための契約者を許可する前にIDをチェックしているセキュリティディスクの構築する価値がある"とAshkan Soltani , というセキュリティ専門家で元連邦取引委員会の技術責任者は語った。バリデーションを妥協することで、ハッカーは悪質なソフトウェアをインストールすることで簡単に"優良"ソフトウェア企業に成り済ます可能性がある、とSoltaniは語り、潜在的にコンピュータユーザーをスパイするためにそれらを許し、あるいは、人質や身代金としてデバイスをホールドしている。」