トランプ政権のへっぽこセキュリティ事件簿 (6) ホワイトハウスのセキュリティ担当者の受難

江添 佳代子

February 15, 2017 08:00
by 江添 佳代子

いばっている人の失敗は、単純に楽しい

「新しいミームの素材」としてすっかり時の人となっていたホワイトハウス報道官ショーン・スパイサーのTwitterアカウントから、自身のパスワードらしき文字列が2日連続でツイートされた。この話題に大勢のTwitterユーザーが食いついたことは言わずもがなだろう。彼らの反応や大喜利は「#n9y25ah7」で大量に読むことができるが、ここでは気になったツイートだけをいくつか紹介したい。

両方のツイートのスクリーンショットを保管していたAnonynousのツイート。「いいパスワードだな、兄弟」

ワシントン・ポストのレポーターWesley Lowery氏のツイート。「この2日間で2回目だ。本当に、スパイサーの電話にいったい何が起きているのだ?」

「n9y25ah7はいかなるときも永遠に、最も安全なパスワードである。ピリオド」(#SeanSpicerFacts型のおふざけツイート)

この事件には、セキュリティ界のスター、ミッコ・ヒッポネンまで反応した。

エド・ボールズとの違い

政治家による「うっかりミスのツイート」がトレンドとなったのは、今回が初めてのことではない。おそらく最も有名なのは2011年の「エド・ボールズ事件」だろう。これは英国のエド・ボールズ議員が、唐突に自身の名前だけをツイートした(おそらくTwitterでエゴサーチをしようとして入力する場所を間違えた)というだけの取るに足らない出来事なのだが、いまでも毎年4月28日は「エド・ボールズの日」として祝われている。なお、あまりに愛されすぎたエド・ボールズの該当ツイートは、現在も削除されていない。

この「エゴサーチをしようとしてツイートした」というボールズの行動は、睡眠不足の粗忽者なら誰でも起こしそうなミスである。しかしスパイサーの「パスワードをツイートした」というミスは珍しい。ほとんどのTwitterクライアントは、ログイン時のパスワード入力画面とツイートの入力画面が全く異なっているので間違えようがない。その「間違えようのない間違い」が2日連続で起きたため、「すでにスパイサーのアカウントは乗っ取られており、誰かが嫌がらせのツイートを発信しているのではないか」という説まで生じた。

この問題については、ガーディアンのライターAlex Hern氏が説得力のある考察を述べている。彼は今回の事故が起きた理由について、「スパイサーはTwitterのログインにSMSの2要素認証を利用しており、さらに『SMS経由でツイートする機能』も使っていたのではないか。彼は認証コードをSMSで送ったあと、誤って(その後のメッセージはツイートに反映される状態なのに、パスワード入力を求められていると勘違いして)パスワードを送信したのでは?」という仮説を立てた。

この条件下なら、たしかに「パスワードを誤って2度ツイートする」という失敗もあり得る。別の表現をするなら、これぐらいの事情がなければ考えられないレベルのミスだ。とはいえスパイサーが釈明会見を開いたわけでもないので、真相は闇の中である。

ここまで取り上げてきた全ての話題は、いずれもトランプ大統領の就任から1週間足らずのうちに報道された問題ばかりだ。新政権のセキュリティ対策の甘さ、およびホワイトハウスの面々のセキュリティ意識の甘さに関しては、その後も続々と新しい問題が指摘されているのだが、本当にキリがないのでいったん終了としよう。

なぜ、ここまでレベルが落ちたのか

「インシデントの予防を徹底し、有事の際の対応策や連絡体制も整え、包括的なセキュリティを導入していたはずの組織が、時とともにルーズになってしまう」というのは非常にありがちな話だ。しかし新政権のホワイトハウスでは、最初からそれぞれが勝手に危険な行動をとって自滅している有様だと言わざるを得ない。

今回、ここで取り上げた数々の問題からは、ホワイトハウスのセキュリティ全体を見通す体制に重大な欠陥がある様子が見てとれる。しかし「組織の包括的な管理が何もできておらず、アドバイスをできる専門家もいない」と考えるのは、常識的にいって無理があるだろう。たとえば、これまでホワイトハウスのセキュリティを統括してきた責任者が、うっかりトランプの機嫌を損ねる発言をした瞬間、足下の床が開き、猛獣だらけの地下室に落とされてしまった……といったギャグ漫画のような展開でもなければ、そのようなことにはならないはずだ(※)。

なにしろオバマ政権のホワイトハウスでは8年間、これほど初歩的な問題が取りざたされたことはなかった。だからこそ「前国務長官のヒラリーが、業務上のメールを送受信する際に個人のメールサーバーを利用したこと」について、セキュリティの認識が甘いのではないかと大いに議論されるだけの余裕があった。ホワイトハウスの面々たちがGalaxy S3やGmailを利用しているなどという低次元な話が、新政権誕生から数日のうちに次々と報じられるのは不可解に感じられる。

ひょっとすると現在、ホワイトハウスのセキュリティを担当している人々は、大統領や高官たちに強く意見できる状況ではないのかもしれない。それは企業のセキュリティでよく見られることだ。どんなに入念なセキュリティ体制を構築している組織でも、発言力を持った重役が「こんな面倒くさいことにつきあえない」とダダをこね、自分だけに便益を迫るようセキュリティ担当者に迫る。あるいは個人の勝手な判断でシャドーIT(組織が承認していない個人のデバイス利用)に手を染める。その結果、せっかく築き上げてきた強固なセキュリティの鎖が一気にほころびてしまった……そんなありがちな悲劇が、現在のホワイトハウスにも起きている最中なのではないだろうか?
 
※ この原稿を書き上げた直後、「ホワイトハウスのサイバーセキュリティ責任者は唐突に辞職させられていた」というニュースが飛び込んできた。2月9日の「ZDNet」の報道によれば、これまで大統領や周辺の人々のセキュリティ対策を担当していたコリー・ルーイは辞職に追い込まれていた。彼をセキュリティ担当者に任命したのはオバマ大統領だったため、残りの職員たちも「オバマの残党の魔女狩り」に怯えているという。さすがにホワイトハウスの床は開かないだろうが、どうやら筆者はトランプ政権の面白さをなめていたようだ。
 
(了)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…