最大のセキュリティリスクはやはり「人間」？最大のセキュリティリスク“人の脆弱性”の問題とは？ 米大統領選サイバー攻撃から学ぶ (1/2)

米大統領選中に発生した地方自治体職員へのサイバー攻撃は、新たな流出文書でロシアの関与が明らかになった。投票改ざんの有無は不明だが、攻撃者は地方特有の“隙”を狙ったのではないか、という見方がある。

[Michael Heller，TechTarget]

ロシアによる米大統領選でのサイバー攻撃が新たな流出文書で明らかに

　2016年の米大統領選期間中、地方自治体職員に対して仕掛けられたサイバー攻撃にロシアが関与していたことが、米国家安全保障局（NSA）から新たに流出した極秘文書によって明らかになったという。

　NSAの極秘文書によれば、米情報機関は米大統領選期間中にサイバー攻撃を仕掛けてきたのは、ロシア連邦軍参謀本部情報総局（GRU）であると断定している。ただしロシア政府は一連の攻撃への関与を否定。ロシアのウラジーミル・プーチン大統領も最近、一連の攻撃について、ロシア政府の一切の関与を否定した。だが一方で、プーチン大統領は「愛国的なハッカーが、ロシアを悪く言う人々に対して戦いを仕掛ける可能性はある」とも述べている。

　流出した文書によれば米情報機関は、GRUが2016年8月に米国のある投票ソフトウェア会社の従業員に対し、特定の人物や組織を標的とする「スピアフィッシング攻撃」を仕掛けた証拠を発見。さらにGRUは2016年10月、マルウェアを仕込んだ「Microsoft Word」ファイルを使い、先の攻撃で得た個人情報を基に、地方自治体職員を標的とした第2弾のスピアフィッシング攻撃を仕掛けたという。

　セキュリティ企業FireMonの最高技術責任者（CTO）ポール・カラタユ氏によれば、NSAの文書で詳述されているようなスピアフィッシング攻撃は、技術的には阻止できたはずのものだという。このスピアフィッシング攻撃は、狙いを付けたターゲットに、「VBScript」のスクリプトを含むWordファイルをクリックさせて開かせる手口だ。対策として適切なのは、Word内ではVBScriptを信用せず、実行を無効化することだとカラタユ氏は語る。これはポリシーの設定で実施できる。「この対策を講じておけば、職員が文書をクリックして開いたとしても、マルウェアの実行を阻止できていたはずだ」（同氏）

　Windows用のコマンド／スクリプト環境「Windows PowerShell」の設定にも注意が必要だ。PowerShellはデフォルトでは、ほとんどのシステムで実行できるようになっている。堅牢（けんろう）なセキュリティ対策として推奨するのは、デジタル証明書ベースの認証を使用し、信頼できるソースからしかPowerShellを実行できないようにすることだ。PowerShellを完全に無効化すれば、なお良い。

併せて読みたいお薦め記事

トランプ米大統領とセキュリティ

• トランプ氏の「サイバーセキュリティ大統領令」を褒める人、けなす人、それぞれの見方
• トランプ大統領は5年前の「Android」スマホをまだ愛用か　セキュリティ専門家が懸念
• トランプ大統領就任式前に監視カメラがハッキング、未解決の謎が残る

米国“官製ハッカー”のインパクト

• 「WannaCry」を巡りMicrosoftがNSAを批判、混迷深めるIT企業と政府の関係
• 全米が割れた「政府の暗号解読を許すか、許さないか」問題

最大のセキュリティリスクは人間

　調査報道サイトThe InterceptによるとNSAから流出した文書は、米大統領選期間中のサイバー攻撃の狙いやその成否には触れていない。ただし専門家によれば一連の攻撃の実行者が、多くのITシステムに共通する2つの脆弱（ぜいじゃく）性を標的にしたのは明らかだという。その脆弱性とは、不十分な予算と、人間だ。「結局、障害点は人間だ」。侵入検知ベンダーFidelis Cybersecurityで脅威研究担当マネジャーを務めるジョン・バンベネク氏は、こう語る。

　地方自治体で発生しやすいセキュリティ障害は、基本的には中小規模企業と同じだ。地方自治体にとってサイバーセキュリティは専門分野外であり、セキュリティ対策は十分とはいえない。「地方自治体には、システムのセキュリティを万全に保つための技術や人材を確保できるほど十分な予算がない。この状況は恐らく今後も変わらない」とバンベネク氏は語る。

　さらに困ったことに、地方自治体にはセキュリティトレーニングのための予算もない。地方自治体は民間企業と人材を奪い合うことになるが、より多額の報酬を支払うことができるのは当然、民間企業だ。民間企業は犯罪行動に対し、より多くの人材を配備し、より多くの対策を講じることができる。「地方自治体の選挙担当職員に対し、潤沢な資金を持つ海外の意欲的な攻撃実行者と対峙（たいじ）できる能力を期待するのは、決して現実的ではない」とバンベネク氏は語る。

　インシデントレスポンス支援ベンダーSyncurityの最高経営責任者（CEO）ジョン・ジョリー氏は、地方自治体で発生するセキュリティ障害は「特殊なものではない」との考えだ。「1つ目の失敗は、明らかに攻撃対象にされそうな職員に対し、スピアフィッシング攻撃の危険性や流行の度合い、高性能化について十分に教育しなかったことだ」とジョリー氏は指摘する。同じくらいに重大な2つ目の失敗は、自らが大規模攻撃の標的になり得る貴重なデータを扱っているということを、職員が自覚していなかったことだ。自らがいかに重要な資産を扱っているかを理解することが、まず何より重要となる。

　投資会社Strategic Cyber Venturesのパートナーで最高執行責任者（COO）のハンク・トーマス氏によれば、全米の地方自治体は「ごく基本的なサイバーセキュリティ対策しか講じていないことで有名」だという。