トランプ政権のへっぽこセキュリティ事件簿 (6) ホワイトハウスのセキュリティ担当者の受難

江添 佳代子

February 15, 2017 08:00
by 江添 佳代子

いばっている人の失敗は、単純に楽しい

「新しいミームの素材」としてすっかり時の人となっていたホワイトハウス報道官ショーン・スパイサーのTwitterアカウントから、自身のパスワードらしき文字列が2日連続でツイートされた。この話題に大勢のTwitterユーザーが食いついたことは言わずもがなだろう。彼らの反応や大喜利は「#n9y25ah7」で大量に読むことができるが、ここでは気になったツイートだけをいくつか紹介したい。

両方のツイートのスクリーンショットを保管していたAnonynousのツイート。「いいパスワードだな、兄弟」

ワシントン・ポストのレポーターWesley Lowery氏のツイート。「この2日間で2回目だ。本当に、スパイサーの電話にいったい何が起きているのだ?」

「n9y25ah7はいかなるときも永遠に、最も安全なパスワードである。ピリオド」(#SeanSpicerFacts型のおふざけツイート)

この事件には、セキュリティ界のスター、ミッコ・ヒッポネンまで反応した。

エド・ボールズとの違い

政治家による「うっかりミスのツイート」がトレンドとなったのは、今回が初めてのことではない。おそらく最も有名なのは2011年の「エド・ボールズ事件」だろう。これは英国のエド・ボールズ議員が、唐突に自身の名前だけをツイートした(おそらくTwitterでエゴサーチをしようとして入力する場所を間違えた)というだけの取るに足らない出来事なのだが、いまでも毎年4月28日は「エド・ボールズの日」として祝われている。なお、あまりに愛されすぎたエド・ボールズの該当ツイートは、現在も削除されていない。

この「エゴサーチをしようとしてツイートした」というボールズの行動は、睡眠不足の粗忽者なら誰でも起こしそうなミスである。しかしスパイサーの「パスワードをツイートした」というミスは珍しい。ほとんどのTwitterクライアントは、ログイン時のパスワード入力画面とツイートの入力画面が全く異なっているので間違えようがない。その「間違えようのない間違い」が2日連続で起きたため、「すでにスパイサーのアカウントは乗っ取られており、誰かが嫌がらせのツイートを発信しているのではないか」という説まで生じた。

この問題については、ガーディアンのライターAlex Hern氏が説得力のある考察を述べている。彼は今回の事故が起きた理由について、「スパイサーはTwitterのログインにSMSの2要素認証を利用しており、さらに『SMS経由でツイートする機能』も使っていたのではないか。彼は認証コードをSMSで送ったあと、誤って(その後のメッセージはツイートに反映される状態なのに、パスワード入力を求められていると勘違いして)パスワードを送信したのでは?」という仮説を立てた。

この条件下なら、たしかに「パスワードを誤って2度ツイートする」という失敗もあり得る。別の表現をするなら、これぐらいの事情がなければ考えられないレベルのミスだ。とはいえスパイサーが釈明会見を開いたわけでもないので、真相は闇の中である。

ここまで取り上げてきた全ての話題は、いずれもトランプ大統領の就任から1週間足らずのうちに報道された問題ばかりだ。新政権のセキュリティ対策の甘さ、およびホワイトハウスの面々のセキュリティ意識の甘さに関しては、その後も続々と新しい問題が指摘されているのだが、本当にキリがないのでいったん終了としよう。

なぜ、ここまでレベルが落ちたのか

「インシデントの予防を徹底し、有事の際の対応策や連絡体制も整え、包括的なセキュリティを導入していたはずの組織が、時とともにルーズになってしまう」というのは非常にありがちな話だ。しかし新政権のホワイトハウスでは、最初からそれぞれが勝手に危険な行動をとって自滅している有様だと言わざるを得ない。

今回、ここで取り上げた数々の問題からは、ホワイトハウスのセキュリティ全体を見通す体制に重大な欠陥がある様子が見てとれる。しかし「組織の包括的な管理が何もできておらず、アドバイスをできる専門家もいない」と考えるのは、常識的にいって無理があるだろう。たとえば、これまでホワイトハウスのセキュリティを統括してきた責任者が、うっかりトランプの機嫌を損ねる発言をした瞬間、足下の床が開き、猛獣だらけの地下室に落とされてしまった……といったギャグ漫画のような展開でもなければ、そのようなことにはならないはずだ(※)。

なにしろオバマ政権のホワイトハウスでは8年間、これほど初歩的な問題が取りざたされたことはなかった。だからこそ「前国務長官のヒラリーが、業務上のメールを送受信する際に個人のメールサーバーを利用したこと」について、セキュリティの認識が甘いのではないかと大いに議論されるだけの余裕があった。ホワイトハウスの面々たちがGalaxy S3やGmailを利用しているなどという低次元な話が、新政権誕生から数日のうちに次々と報じられるのは不可解に感じられる。

ひょっとすると現在、ホワイトハウスのセキュリティを担当している人々は、大統領や高官たちに強く意見できる状況ではないのかもしれない。それは企業のセキュリティでよく見られることだ。どんなに入念なセキュリティ体制を構築している組織でも、発言力を持った重役が「こんな面倒くさいことにつきあえない」とダダをこね、自分だけに便益を迫るようセキュリティ担当者に迫る。あるいは個人の勝手な判断でシャドーIT(組織が承認していない個人のデバイス利用)に手を染める。その結果、せっかく築き上げてきた強固なセキュリティの鎖が一気にほころびてしまった……そんなありがちな悲劇が、現在のホワイトハウスにも起きている最中なのではないだろうか?
 
※ この原稿を書き上げた直後、「ホワイトハウスのサイバーセキュリティ責任者は唐突に辞職させられていた」というニュースが飛び込んできた。2月9日の「ZDNet」の報道によれば、これまで大統領や周辺の人々のセキュリティ対策を担当していたコリー・ルーイは辞職に追い込まれていた。彼をセキュリティ担当者に任命したのはオバマ大統領だったため、残りの職員たちも「オバマの残党の魔女狩り」に怯えているという。さすがにホワイトハウスの床は開かないだろうが、どうやら筆者はトランプ政権の面白さをなめていたようだ。
 
(了)




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約700本以上担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

違法スパイ装置と見なされたIoT人形「ケイラ」とは?(前編)

February 27, 2017 08:00

by 江添 佳代子

ドイツの連邦ネットワーク規制庁Bundesnetzagenturは2月17日、インターネット接続の人形「マイ・フレンド・ケイラ(My Friend Cayla、以下ケイラ)」を違法な監視デバイスであると判断し、すでに国内市場から排除していることを発表した。 ドイツの連邦ネットワーク規制庁の発表 ドイ…

ハッカーの系譜(10)マービン・ミンスキー (5) 伝説のダートマス会議に参加

February 23, 2017 08:00

by 牧野武文

暇つぶしで共焦点顕微鏡を発明 しかし、なにもしないわけにはいかないので、好きな機械いじり三昧をしている間に、共焦点顕微鏡のアイディアを思いついた。これは顕微鏡にピンホール(小さな穴)を使うというアイディアだった。 レンズを組み合わせて構成されている一般の光学顕微鏡では、試料を観察するときに焦点を合わ…