トランプ政権のへっぽこセキュリティ事件簿 (4) 1週間放置された設定ミス

江添 佳代子

February 13, 2017 08:00
by 江添 佳代子

大統領をおちょくるハッカー

トランプ大統領の公式アカウント@POTUSの問題を指摘したWauchulaGhostについて少し説明しよう。この人物は以前、ISISや親ISISのTwitterアカウントを大量にハッキングし、そのプロフィール画像をポルノ画像に置き換えたり、背景の画像をレインボーフラッグの画像に差し替えたり、自己紹介欄を「いまエッチな気分です」などの文言に書き換えたりしたことで一躍有名となったハッカーだ。

この活動で乗っ取られたアカウントの数は500件以上にのぼると言われている。THE ZERO/ONEには、WauchulaGhostの独占インタビューの翻訳記事も掲載されているので、興味のある方はぜひご一読いただきたい。

そんなWauchulaGhostにとって、セキュリティの甘い大統領や、その周辺の人々のアカウントから問題点を探し出すのは他愛もないことだったのだろう。WauchulaGhostは、新しい問題を次々と発見してはツイートしていった。

  • メラニア夫人のアカウント(@FLOTUS)も、@POTUSと同様のセキュリティ設定であることを確認。彼女のGmailのメールアドレス(trumpmelania2017@gmail.com)も割り出されたのちに公開された。
  • 報道官ショーン・スパイサーのTwitterアカウントがPressSec2017@gmail.comで登録されていたことを確認。こちらもGmailだった。
  • 一方、ソーシャルメディアディレクターのダン・スカヴィーノのアカウントはdscavino@donaldtrump.comで登録されていたことを確認。(ちなみにホワイトハウスのツイッターアカウント管理やセットアップは、彼が担当している可能性が高いと考えられている)
  • 翌21日のトランプのツイートが、いまだにAndroidの端末から送られているらしいことを確認。こちらはトランプが大統領になる前から利用されているほうのアカウント(@realDonaldTrump)の話である。
  • 一方、大統領の公式アカウント@POTUSのツイートはiPhoneから送られていることを指摘。WauchulaGhostは、「このアカウントでツイートしているのはスカヴィーノ、君なのかい? 君はiPhoneユーザーだよな」と質問を送っている(もちろん返事はない)。

これらの一連の挑発ツイートには次第に注目が集まりはじめ、数日後には影響力のあるメディアの関係者たちも話題にするようになった(一例)。それでも@POTUSのパスワードリセット画面には、Gmailのメールアドレスだけが表示されたままの状態が続いた。このメールアドレスが、政府発行のメールアドレスと思わしきものに差し替えられたのは、最初のWauchulaGhostのツイートからちょうど1 週間後の1月26日だった(※)。


切り替わりを確認した米国のライターLeah McElrath氏のツイート。
 
※ 実は大統領のアカウントのメールアドレスは無事に変更されたが、パスワードリセットの設定はいまだに変更されていない。皆さんもパスワードリセットのページで「POTUS」を入力すれば、現在のトランプの公式アカウントが紐付けられているメールアドレスの一部を見ることができる(2月2日現在)。

なぜセキュリティは放置されたのか?

ホワイトハウスにおける公式Twitterアカウントのセキュリティ問題は本当に突っ込みどころだらけだが、誰にでも失敗はあるということで一旦スルーしよう。とにかく今回の件で不思議なのは、彼らが(あるいは担当者が)WauchulaGhostの警告ツイートにすぐ気づいていたにも関わらず、なぜ大統領のアカウントに登録したメールアドレスが1週間も変更されなかったのかという点である。

万が一、「Twitterのセキュリティ設定を確認し、変更できる人材がホワイトハウスに一人もいない」というおぞましい状況だったとしても、専門機関やセキュリティ企業に依頼すれば数分で対応できただろう。無償で助けを申し出る親トランプ派の人々も山ほどいたはずだ。第一、この事態をNSAやFBIが無視していたとは考え難い。

筆者の想像だが、単にホワイトハウスは新政権誕生直後の忙しさを理由として、このセキュリティ問題を後回しにしたのかもしれない。「杜撰な工程で大統領の公式アカウントを開設した翌日、凄腕のハッカーに目をつけられ、恥ずかしいセキュリティ設定を晒された挙げ句、ホワイトハウスの最重要人物たちのメールアドレスを一瞬にして割られた」という状況がどれほど深刻なのかを理解していなかった彼らは、様々な人々から助言が届けられていたにも関わらず、それを深刻に受け止めようとしなかった……というのが真相ではないだろうか。「あえて放置することで、ハッキングを試みる危険人物の正体をつかもうとした」などの深読みもできるが、それはあまりにリスクが大きすぎる。

WauchulaGhostは今回、ホワイトハウスのセキュリティの酷さを伝えたかっただけなので、大統領のアカウントを侵害する意向はないと宣言していた。しかしWauchulaGhostは、ただの悪戯好きのハッカーではない。「Twitterアカウントの乗っ取りのエキスパート」と呼べる人物である。そこにほんの少しの心変わりが起きていたなら、新しく誕生したばかりの大統領の脆弱な公式アカウントはたちまちポルノ画像で埋め尽くされ、さらにトランプのプロフィール画像も、プーチンの画像かKKKメンバーの画像に差し替えられていたかもしれない。それが世界中の人々に閲覧されてしまう恥ずかしさまで想像できていたなら、彼らはどんな手を使ってでも問題の対処にあたったのではないだろうか?
 
(その5に続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(前編)

January 11, 2018 08:00

by 江添 佳代子

ベトナム人民軍は2017年12月25日、1万人規模の新たな軍事サイバーユニット「Force 47」(47部隊)の存在を公にした。このForce47は、インターネット上の「誤った見解」と戦うための部隊で、すでに一部で活動を開始したと伝えられている。 共産党による一党独裁の社会主義国ベトナムでは、インタ…