トランプ政権のへっぽこセキュリティ事件簿 (6) ホワイトハウスのセキュリティ担当者の受難

江添 佳代子

February 15, 2017 08:00
by 江添 佳代子

いばっている人の失敗は、単純に楽しい

「新しいミームの素材」としてすっかり時の人となっていたホワイトハウス報道官ショーン・スパイサーのTwitterアカウントから、自身のパスワードらしき文字列が2日連続でツイートされた。この話題に大勢のTwitterユーザーが食いついたことは言わずもがなだろう。彼らの反応や大喜利は「#n9y25ah7」で大量に読むことができるが、ここでは気になったツイートだけをいくつか紹介したい。

両方のツイートのスクリーンショットを保管していたAnonynousのツイート。「いいパスワードだな、兄弟」

ワシントン・ポストのレポーターWesley Lowery氏のツイート。「この2日間で2回目だ。本当に、スパイサーの電話にいったい何が起きているのだ?」

「n9y25ah7はいかなるときも永遠に、最も安全なパスワードである。ピリオド」(#SeanSpicerFacts型のおふざけツイート)

この事件には、セキュリティ界のスター、ミッコ・ヒッポネンまで反応した。

エド・ボールズとの違い

政治家による「うっかりミスのツイート」がトレンドとなったのは、今回が初めてのことではない。おそらく最も有名なのは2011年の「エド・ボールズ事件」だろう。これは英国のエド・ボールズ議員が、唐突に自身の名前だけをツイートした(おそらくTwitterでエゴサーチをしようとして入力する場所を間違えた)というだけの取るに足らない出来事なのだが、いまでも毎年4月28日は「エド・ボールズの日」として祝われている。なお、あまりに愛されすぎたエド・ボールズの該当ツイートは、現在も削除されていない。

この「エゴサーチをしようとしてツイートした」というボールズの行動は、睡眠不足の粗忽者なら誰でも起こしそうなミスである。しかしスパイサーの「パスワードをツイートした」というミスは珍しい。ほとんどのTwitterクライアントは、ログイン時のパスワード入力画面とツイートの入力画面が全く異なっているので間違えようがない。その「間違えようのない間違い」が2日連続で起きたため、「すでにスパイサーのアカウントは乗っ取られており、誰かが嫌がらせのツイートを発信しているのではないか」という説まで生じた。

この問題については、ガーディアンのライターAlex Hern氏が説得力のある考察を述べている。彼は今回の事故が起きた理由について、「スパイサーはTwitterのログインにSMSの2要素認証を利用しており、さらに『SMS経由でツイートする機能』も使っていたのではないか。彼は認証コードをSMSで送ったあと、誤って(その後のメッセージはツイートに反映される状態なのに、パスワード入力を求められていると勘違いして)パスワードを送信したのでは?」という仮説を立てた。

この条件下なら、たしかに「パスワードを誤って2度ツイートする」という失敗もあり得る。別の表現をするなら、これぐらいの事情がなければ考えられないレベルのミスだ。とはいえスパイサーが釈明会見を開いたわけでもないので、真相は闇の中である。

ここまで取り上げてきた全ての話題は、いずれもトランプ大統領の就任から1週間足らずのうちに報道された問題ばかりだ。新政権のセキュリティ対策の甘さ、およびホワイトハウスの面々のセキュリティ意識の甘さに関しては、その後も続々と新しい問題が指摘されているのだが、本当にキリがないのでいったん終了としよう。

なぜ、ここまでレベルが落ちたのか

「インシデントの予防を徹底し、有事の際の対応策や連絡体制も整え、包括的なセキュリティを導入していたはずの組織が、時とともにルーズになってしまう」というのは非常にありがちな話だ。しかし新政権のホワイトハウスでは、最初からそれぞれが勝手に危険な行動をとって自滅している有様だと言わざるを得ない。

今回、ここで取り上げた数々の問題からは、ホワイトハウスのセキュリティ全体を見通す体制に重大な欠陥がある様子が見てとれる。しかし「組織の包括的な管理が何もできておらず、アドバイスをできる専門家もいない」と考えるのは、常識的にいって無理があるだろう。たとえば、これまでホワイトハウスのセキュリティを統括してきた責任者が、うっかりトランプの機嫌を損ねる発言をした瞬間、足下の床が開き、猛獣だらけの地下室に落とされてしまった……といったギャグ漫画のような展開でもなければ、そのようなことにはならないはずだ(※)。

なにしろオバマ政権のホワイトハウスでは8年間、これほど初歩的な問題が取りざたされたことはなかった。だからこそ「前国務長官のヒラリーが、業務上のメールを送受信する際に個人のメールサーバーを利用したこと」について、セキュリティの認識が甘いのではないかと大いに議論されるだけの余裕があった。ホワイトハウスの面々たちがGalaxy S3やGmailを利用しているなどという低次元な話が、新政権誕生から数日のうちに次々と報じられるのは不可解に感じられる。

ひょっとすると現在、ホワイトハウスのセキュリティを担当している人々は、大統領や高官たちに強く意見できる状況ではないのかもしれない。それは企業のセキュリティでよく見られることだ。どんなに入念なセキュリティ体制を構築している組織でも、発言力を持った重役が「こんな面倒くさいことにつきあえない」とダダをこね、自分だけに便益を迫るようセキュリティ担当者に迫る。あるいは個人の勝手な判断でシャドーIT(組織が承認していない個人のデバイス利用)に手を染める。その結果、せっかく築き上げてきた強固なセキュリティの鎖が一気にほころびてしまった……そんなありがちな悲劇が、現在のホワイトハウスにも起きている最中なのではないだろうか?
 
※ この原稿を書き上げた直後、「ホワイトハウスのサイバーセキュリティ責任者は唐突に辞職させられていた」というニュースが飛び込んできた。2月9日の「ZDNet」の報道によれば、これまで大統領や周辺の人々のセキュリティ対策を担当していたコリー・ルーイは辞職に追い込まれていた。彼をセキュリティ担当者に任命したのはオバマ大統領だったため、残りの職員たちも「オバマの残党の魔女狩り」に怯えているという。さすがにホワイトハウスの床は開かないだろうが、どうやら筆者はトランプ政権の面白さをなめていたようだ。
 
(了)




ハッカーの系譜(10)マービン・ミンスキー (10) 多層化することで問題を解決

March 30, 2017 08:00

by 牧野武文

多層化することでXOR問題を乗り越えられる パーセプトロンの第1の進化は多層化だ。ミンスキーが指摘したように、パーセプトロンはXORの論理演算結果を学習することができない。前回示したように、XORの演算結果は線形分離不可能、つまり直線で真と偽のグループにわけることができないからだ。 しかし、実はちょ…

POSマルウェアの恐怖 (4) クレジットカード番号が顧客番号や業務処理のキーとして活用される

March 29, 2017 08:00

by 牧野武文

  ・POSマルウェアの恐怖(1) PCI DSSに準拠しても防げない? 狙われるPOSシステム ・POSマルウェアの恐怖(2) カード情報が平文で通信されるシステム ・POSマルウェアの恐怖(3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか POSレジを…

IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(後編)

March 28, 2017 08:00

by 江添 佳代子

  →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編) →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(中編) 何も知らされていなかったユーザー ここでいったん時系列を確認しよう。ハントやロレンゾに情報を提供した人物がCloudPetsへの連絡を試みたのは…

中国で9億アカウントが利用する「WiFi万能鍵」が1308種類の偽アプリを一掃

March 27, 2017 10:30

by 牧野武文

『中国経済網』の報道によると、中国で大人気のアプリ「WiFi万能鍵」を開発した上海連尚科技有限公司は、今年3月までに、1308種類の偽アプリを一掃したと発表した。 アカウント数9億件を超える無線LANユーティリティーソフト WiFi万能鍵は、公衆無線LANに自動接続するAndroid・iOSアプリ。…