トランプ政権のへっぽこセキュリティ事件簿 (4) 1週間放置された設定ミス

江添 佳代子

February 13, 2017 08:00
by 江添 佳代子

大統領をおちょくるハッカー

トランプ大統領の公式アカウント@POTUSの問題を指摘したWauchulaGhostについて少し説明しよう。この人物は以前、ISISや親ISISのTwitterアカウントを大量にハッキングし、そのプロフィール画像をポルノ画像に置き換えたり、背景の画像をレインボーフラッグの画像に差し替えたり、自己紹介欄を「いまエッチな気分です」などの文言に書き換えたりしたことで一躍有名となったハッカーだ。

この活動で乗っ取られたアカウントの数は500件以上にのぼると言われている。THE ZERO/ONEには、WauchulaGhostの独占インタビューの翻訳記事も掲載されているので、興味のある方はぜひご一読いただきたい。

そんなWauchulaGhostにとって、セキュリティの甘い大統領や、その周辺の人々のアカウントから問題点を探し出すのは他愛もないことだったのだろう。WauchulaGhostは、新しい問題を次々と発見してはツイートしていった。

  • メラニア夫人のアカウント(@FLOTUS)も、@POTUSと同様のセキュリティ設定であることを確認。彼女のGmailのメールアドレス(trumpmelania2017@gmail.com)も割り出されたのちに公開された。
  • 報道官ショーン・スパイサーのTwitterアカウントがPressSec2017@gmail.comで登録されていたことを確認。こちらもGmailだった。
  • 一方、ソーシャルメディアディレクターのダン・スカヴィーノのアカウントはdscavino@donaldtrump.comで登録されていたことを確認。(ちなみにホワイトハウスのツイッターアカウント管理やセットアップは、彼が担当している可能性が高いと考えられている)
  • 翌21日のトランプのツイートが、いまだにAndroidの端末から送られているらしいことを確認。こちらはトランプが大統領になる前から利用されているほうのアカウント(@realDonaldTrump)の話である。
  • 一方、大統領の公式アカウント@POTUSのツイートはiPhoneから送られていることを指摘。WauchulaGhostは、「このアカウントでツイートしているのはスカヴィーノ、君なのかい? 君はiPhoneユーザーだよな」と質問を送っている(もちろん返事はない)。

これらの一連の挑発ツイートには次第に注目が集まりはじめ、数日後には影響力のあるメディアの関係者たちも話題にするようになった(一例)。それでも@POTUSのパスワードリセット画面には、Gmailのメールアドレスだけが表示されたままの状態が続いた。このメールアドレスが、政府発行のメールアドレスと思わしきものに差し替えられたのは、最初のWauchulaGhostのツイートからちょうど1 週間後の1月26日だった(※)。


切り替わりを確認した米国のライターLeah McElrath氏のツイート。
 
※ 実は大統領のアカウントのメールアドレスは無事に変更されたが、パスワードリセットの設定はいまだに変更されていない。皆さんもパスワードリセットのページで「POTUS」を入力すれば、現在のトランプの公式アカウントが紐付けられているメールアドレスの一部を見ることができる(2月2日現在)。

なぜセキュリティは放置されたのか?

ホワイトハウスにおける公式Twitterアカウントのセキュリティ問題は本当に突っ込みどころだらけだが、誰にでも失敗はあるということで一旦スルーしよう。とにかく今回の件で不思議なのは、彼らが(あるいは担当者が)WauchulaGhostの警告ツイートにすぐ気づいていたにも関わらず、なぜ大統領のアカウントに登録したメールアドレスが1週間も変更されなかったのかという点である。

万が一、「Twitterのセキュリティ設定を確認し、変更できる人材がホワイトハウスに一人もいない」というおぞましい状況だったとしても、専門機関やセキュリティ企業に依頼すれば数分で対応できただろう。無償で助けを申し出る親トランプ派の人々も山ほどいたはずだ。第一、この事態をNSAやFBIが無視していたとは考え難い。

筆者の想像だが、単にホワイトハウスは新政権誕生直後の忙しさを理由として、このセキュリティ問題を後回しにしたのかもしれない。「杜撰な工程で大統領の公式アカウントを開設した翌日、凄腕のハッカーに目をつけられ、恥ずかしいセキュリティ設定を晒された挙げ句、ホワイトハウスの最重要人物たちのメールアドレスを一瞬にして割られた」という状況がどれほど深刻なのかを理解していなかった彼らは、様々な人々から助言が届けられていたにも関わらず、それを深刻に受け止めようとしなかった……というのが真相ではないだろうか。「あえて放置することで、ハッキングを試みる危険人物の正体をつかもうとした」などの深読みもできるが、それはあまりにリスクが大きすぎる。

WauchulaGhostは今回、ホワイトハウスのセキュリティの酷さを伝えたかっただけなので、大統領のアカウントを侵害する意向はないと宣言していた。しかしWauchulaGhostは、ただの悪戯好きのハッカーではない。「Twitterアカウントの乗っ取りのエキスパート」と呼べる人物である。そこにほんの少しの心変わりが起きていたなら、新しく誕生したばかりの大統領の脆弱な公式アカウントはたちまちポルノ画像で埋め尽くされ、さらにトランプのプロフィール画像も、プーチンの画像かKKKメンバーの画像に差し替えられていたかもしれない。それが世界中の人々に閲覧されてしまう恥ずかしさまで想像できていたなら、彼らはどんな手を使ってでも問題の対処にあたったのではないだろうか?
 
(その5に続く)




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約700本以上担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

ハッカーの系譜(11)スタートアップ養成する「Yコンビネーター」 (6) 株式と転換社債を使った「賢い」資金援助

May 23, 2017 08:00

by 牧野武文

養成機関運営の問題点 グレアムは、ビアウェブのときの仲間であるモリスとブラックウェルに声をかけてみた。2人はスタートアップ養成機関というアイディアは実に面白く、成功するだろうと太鼓判を押してくれた。ただ、モリスはすでにマサチューセッツ工科大学の教職の地位を得ており、ブラックウェルも自分のスタートアッ…