トランプ政権のへっぽこセキュリティ事件簿 (4) 1週間放置された設定ミス

江添 佳代子

February 13, 2017 08:00
by 江添 佳代子

大統領をおちょくるハッカー

トランプ大統領の公式アカウント@POTUSの問題を指摘したWauchulaGhostについて少し説明しよう。この人物は以前、ISISや親ISISのTwitterアカウントを大量にハッキングし、そのプロフィール画像をポルノ画像に置き換えたり、背景の画像をレインボーフラッグの画像に差し替えたり、自己紹介欄を「いまエッチな気分です」などの文言に書き換えたりしたことで一躍有名となったハッカーだ。

この活動で乗っ取られたアカウントの数は500件以上にのぼると言われている。THE ZERO/ONEには、WauchulaGhostの独占インタビューの翻訳記事も掲載されているので、興味のある方はぜひご一読いただきたい。

そんなWauchulaGhostにとって、セキュリティの甘い大統領や、その周辺の人々のアカウントから問題点を探し出すのは他愛もないことだったのだろう。WauchulaGhostは、新しい問題を次々と発見してはツイートしていった。

  • メラニア夫人のアカウント(@FLOTUS)も、@POTUSと同様のセキュリティ設定であることを確認。彼女のGmailのメールアドレス(trumpmelania2017@gmail.com)も割り出されたのちに公開された。
  • 報道官ショーン・スパイサーのTwitterアカウントがPressSec2017@gmail.comで登録されていたことを確認。こちらもGmailだった。
  • 一方、ソーシャルメディアディレクターのダン・スカヴィーノのアカウントはdscavino@donaldtrump.comで登録されていたことを確認。(ちなみにホワイトハウスのツイッターアカウント管理やセットアップは、彼が担当している可能性が高いと考えられている)
  • 翌21日のトランプのツイートが、いまだにAndroidの端末から送られているらしいことを確認。こちらはトランプが大統領になる前から利用されているほうのアカウント(@realDonaldTrump)の話である。
  • 一方、大統領の公式アカウント@POTUSのツイートはiPhoneから送られていることを指摘。WauchulaGhostは、「このアカウントでツイートしているのはスカヴィーノ、君なのかい? 君はiPhoneユーザーだよな」と質問を送っている(もちろん返事はない)。

これらの一連の挑発ツイートには次第に注目が集まりはじめ、数日後には影響力のあるメディアの関係者たちも話題にするようになった(一例)。それでも@POTUSのパスワードリセット画面には、Gmailのメールアドレスだけが表示されたままの状態が続いた。このメールアドレスが、政府発行のメールアドレスと思わしきものに差し替えられたのは、最初のWauchulaGhostのツイートからちょうど1 週間後の1月26日だった(※)。


切り替わりを確認した米国のライターLeah McElrath氏のツイート。
 
※ 実は大統領のアカウントのメールアドレスは無事に変更されたが、パスワードリセットの設定はいまだに変更されていない。皆さんもパスワードリセットのページで「POTUS」を入力すれば、現在のトランプの公式アカウントが紐付けられているメールアドレスの一部を見ることができる(2月2日現在)。

なぜセキュリティは放置されたのか?

ホワイトハウスにおける公式Twitterアカウントのセキュリティ問題は本当に突っ込みどころだらけだが、誰にでも失敗はあるということで一旦スルーしよう。とにかく今回の件で不思議なのは、彼らが(あるいは担当者が)WauchulaGhostの警告ツイートにすぐ気づいていたにも関わらず、なぜ大統領のアカウントに登録したメールアドレスが1週間も変更されなかったのかという点である。

万が一、「Twitterのセキュリティ設定を確認し、変更できる人材がホワイトハウスに一人もいない」というおぞましい状況だったとしても、専門機関やセキュリティ企業に依頼すれば数分で対応できただろう。無償で助けを申し出る親トランプ派の人々も山ほどいたはずだ。第一、この事態をNSAやFBIが無視していたとは考え難い。

筆者の想像だが、単にホワイトハウスは新政権誕生直後の忙しさを理由として、このセキュリティ問題を後回しにしたのかもしれない。「杜撰な工程で大統領の公式アカウントを開設した翌日、凄腕のハッカーに目をつけられ、恥ずかしいセキュリティ設定を晒された挙げ句、ホワイトハウスの最重要人物たちのメールアドレスを一瞬にして割られた」という状況がどれほど深刻なのかを理解していなかった彼らは、様々な人々から助言が届けられていたにも関わらず、それを深刻に受け止めようとしなかった……というのが真相ではないだろうか。「あえて放置することで、ハッキングを試みる危険人物の正体をつかもうとした」などの深読みもできるが、それはあまりにリスクが大きすぎる。

WauchulaGhostは今回、ホワイトハウスのセキュリティの酷さを伝えたかっただけなので、大統領のアカウントを侵害する意向はないと宣言していた。しかしWauchulaGhostは、ただの悪戯好きのハッカーではない。「Twitterアカウントの乗っ取りのエキスパート」と呼べる人物である。そこにほんの少しの心変わりが起きていたなら、新しく誕生したばかりの大統領の脆弱な公式アカウントはたちまちポルノ画像で埋め尽くされ、さらにトランプのプロフィール画像も、プーチンの画像かKKKメンバーの画像に差し替えられていたかもしれない。それが世界中の人々に閲覧されてしまう恥ずかしさまで想像できていたなら、彼らはどんな手を使ってでも問題の対処にあたったのではないだろうか?
 
(その5に続く)




ハッカーの系譜(10)マービン・ミンスキー (10) 多層化することで問題を解決

March 30, 2017 08:00

by 牧野武文

多層化することでXOR問題を乗り越えられる パーセプトロンの第1の進化は多層化だ。ミンスキーが指摘したように、パーセプトロンはXORの論理演算結果を学習することができない。前回示したように、XORの演算結果は線形分離不可能、つまり直線で真と偽のグループにわけることができないからだ。 しかし、実はちょ…

POSマルウェアの恐怖 (4) クレジットカード番号が顧客番号や業務処理のキーとして活用される

March 29, 2017 08:00

by 牧野武文

  ・POSマルウェアの恐怖(1) PCI DSSに準拠しても防げない? 狙われるPOSシステム ・POSマルウェアの恐怖(2) カード情報が平文で通信されるシステム ・POSマルウェアの恐怖(3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか POSレジを…

IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(後編)

March 28, 2017 08:00

by 江添 佳代子

  →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編) →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(中編) 何も知らされていなかったユーザー ここでいったん時系列を確認しよう。ハントやロレンゾに情報を提供した人物がCloudPetsへの連絡を試みたのは…

中国で9億アカウントが利用する「WiFi万能鍵」が1308種類の偽アプリを一掃

March 27, 2017 10:30

by 牧野武文

『中国経済網』の報道によると、中国で大人気のアプリ「WiFi万能鍵」を開発した上海連尚科技有限公司は、今年3月までに、1308種類の偽アプリを一掃したと発表した。 アカウント数9億件を超える無線LANユーティリティーソフト WiFi万能鍵は、公衆無線LANに自動接続するAndroid・iOSアプリ。…