トランプ政権のへっぽこセキュリティ事件簿 (6) ホワイトハウスのセキュリティ担当者の受難

江添 佳代子

February 15, 2017 08:00
by 江添 佳代子

いばっている人の失敗は、単純に楽しい

「新しいミームの素材」としてすっかり時の人となっていたホワイトハウス報道官ショーン・スパイサーのTwitterアカウントから、自身のパスワードらしき文字列が2日連続でツイートされた。この話題に大勢のTwitterユーザーが食いついたことは言わずもがなだろう。彼らの反応や大喜利は「#n9y25ah7」で大量に読むことができるが、ここでは気になったツイートだけをいくつか紹介したい。

両方のツイートのスクリーンショットを保管していたAnonynousのツイート。「いいパスワードだな、兄弟」

ワシントン・ポストのレポーターWesley Lowery氏のツイート。「この2日間で2回目だ。本当に、スパイサーの電話にいったい何が起きているのだ?」

「n9y25ah7はいかなるときも永遠に、最も安全なパスワードである。ピリオド」(#SeanSpicerFacts型のおふざけツイート)

この事件には、セキュリティ界のスター、ミッコ・ヒッポネンまで反応した。

エド・ボールズとの違い

政治家による「うっかりミスのツイート」がトレンドとなったのは、今回が初めてのことではない。おそらく最も有名なのは2011年の「エド・ボールズ事件」だろう。これは英国のエド・ボールズ議員が、唐突に自身の名前だけをツイートした(おそらくTwitterでエゴサーチをしようとして入力する場所を間違えた)というだけの取るに足らない出来事なのだが、いまでも毎年4月28日は「エド・ボールズの日」として祝われている。なお、あまりに愛されすぎたエド・ボールズの該当ツイートは、現在も削除されていない。

この「エゴサーチをしようとしてツイートした」というボールズの行動は、睡眠不足の粗忽者なら誰でも起こしそうなミスである。しかしスパイサーの「パスワードをツイートした」というミスは珍しい。ほとんどのTwitterクライアントは、ログイン時のパスワード入力画面とツイートの入力画面が全く異なっているので間違えようがない。その「間違えようのない間違い」が2日連続で起きたため、「すでにスパイサーのアカウントは乗っ取られており、誰かが嫌がらせのツイートを発信しているのではないか」という説まで生じた。

この問題については、ガーディアンのライターAlex Hern氏が説得力のある考察を述べている。彼は今回の事故が起きた理由について、「スパイサーはTwitterのログインにSMSの2要素認証を利用しており、さらに『SMS経由でツイートする機能』も使っていたのではないか。彼は認証コードをSMSで送ったあと、誤って(その後のメッセージはツイートに反映される状態なのに、パスワード入力を求められていると勘違いして)パスワードを送信したのでは?」という仮説を立てた。

この条件下なら、たしかに「パスワードを誤って2度ツイートする」という失敗もあり得る。別の表現をするなら、これぐらいの事情がなければ考えられないレベルのミスだ。とはいえスパイサーが釈明会見を開いたわけでもないので、真相は闇の中である。

ここまで取り上げてきた全ての話題は、いずれもトランプ大統領の就任から1週間足らずのうちに報道された問題ばかりだ。新政権のセキュリティ対策の甘さ、およびホワイトハウスの面々のセキュリティ意識の甘さに関しては、その後も続々と新しい問題が指摘されているのだが、本当にキリがないのでいったん終了としよう。

なぜ、ここまでレベルが落ちたのか

「インシデントの予防を徹底し、有事の際の対応策や連絡体制も整え、包括的なセキュリティを導入していたはずの組織が、時とともにルーズになってしまう」というのは非常にありがちな話だ。しかし新政権のホワイトハウスでは、最初からそれぞれが勝手に危険な行動をとって自滅している有様だと言わざるを得ない。

今回、ここで取り上げた数々の問題からは、ホワイトハウスのセキュリティ全体を見通す体制に重大な欠陥がある様子が見てとれる。しかし「組織の包括的な管理が何もできておらず、アドバイスをできる専門家もいない」と考えるのは、常識的にいって無理があるだろう。たとえば、これまでホワイトハウスのセキュリティを統括してきた責任者が、うっかりトランプの機嫌を損ねる発言をした瞬間、足下の床が開き、猛獣だらけの地下室に落とされてしまった……といったギャグ漫画のような展開でもなければ、そのようなことにはならないはずだ(※)。

なにしろオバマ政権のホワイトハウスでは8年間、これほど初歩的な問題が取りざたされたことはなかった。だからこそ「前国務長官のヒラリーが、業務上のメールを送受信する際に個人のメールサーバーを利用したこと」について、セキュリティの認識が甘いのではないかと大いに議論されるだけの余裕があった。ホワイトハウスの面々たちがGalaxy S3やGmailを利用しているなどという低次元な話が、新政権誕生から数日のうちに次々と報じられるのは不可解に感じられる。

ひょっとすると現在、ホワイトハウスのセキュリティを担当している人々は、大統領や高官たちに強く意見できる状況ではないのかもしれない。それは企業のセキュリティでよく見られることだ。どんなに入念なセキュリティ体制を構築している組織でも、発言力を持った重役が「こんな面倒くさいことにつきあえない」とダダをこね、自分だけに便益を迫るようセキュリティ担当者に迫る。あるいは個人の勝手な判断でシャドーIT(組織が承認していない個人のデバイス利用)に手を染める。その結果、せっかく築き上げてきた強固なセキュリティの鎖が一気にほころびてしまった……そんなありがちな悲劇が、現在のホワイトハウスにも起きている最中なのではないだろうか?
 
※ この原稿を書き上げた直後、「ホワイトハウスのサイバーセキュリティ責任者は唐突に辞職させられていた」というニュースが飛び込んできた。2月9日の「ZDNet」の報道によれば、これまで大統領や周辺の人々のセキュリティ対策を担当していたコリー・ルーイは辞職に追い込まれていた。彼をセキュリティ担当者に任命したのはオバマ大統領だったため、残りの職員たちも「オバマの残党の魔女狩り」に怯えているという。さすがにホワイトハウスの床は開かないだろうが、どうやら筆者はトランプ政権の面白さをなめていたようだ。
 
(了)




AlphaBay・Hansa大手闇市場が閉鎖 (1) AlphaBay消滅後のダークマーケットはどうなる?

July 21, 2017 13:30

by 江添 佳代子

ダークウェブの闇市場の最大手として知られていたAlphaBayが7月5日に閉鎖され、その運営者として逮捕されていたアレキサンダー・カーゼスがタイの拘置所で死亡したことは既にTHE ZERO/ONEでお伝えした。カーゼスの自尽が報じられてから日は浅いのだが、セキュリティ業界では早くも「次の闇市場の王者…

賭博のイカサマアプリで大学生が約6億6300万円を荒稼ぎ

July 20, 2017 08:00

by 牧野武文

中国の主要都市では、アリペイ(アリババ)、WeChatペイ(テンセント)のモバイルペイメントが普及し、「無現金社会」がほぼ実現されている。2つのスマートフォン決済手段の普及の大きな原動力になったのが、「紅包」(ホンバオ、ご祝儀)機能だ。この紅包機能を利用したイカサマギャンブルアプリを開発した大学生が…

最大のダークウェブ闇市場「Alphabay」運営者がタイで逮捕され自殺

July 19, 2017 11:00

by 江添 佳代子

ダークウェブの闇市場最大手「Alphabay」を運営した容疑で逮捕されていた男が、拘置所で自らの命を絶ったようだ。『ウォールストリートジャーナル』の報道によれば、死亡が確認されたアレキサンダー・カーゼス(Alexandre Cazes)は26歳のカナダ市民。彼はタイで逮捕されたのち、現地の拘留所に収…