CIAの甘いセキュリティ: ハッキングツールが局内で公開され盗難可能だった

要点

CIAのハッキングツールが機関内のすべてに公開されていた件がワシントン・ポスト紙の調査報道で明らかになった。この報道は、スパイ機関の甘いセキュリティにスポットライトを当てた。議会は、諜報機関は他の政府機関と同じ基準に従うべきだと言っている。

アメリカの諜報機関は、エドワード・スノーデン、チェルシー・マニング、ジョシュア・シュルテによる注目を集めたデータ流出事件から数年が経過した今でも、セキュリティ面では依然として不十分な状況にあると、アメリカ上院情報委員会のロン・ワイデン上院議員は述べている。ワイデン上院議員は、ジョン・ラトクリフ国家情報長官に宛てた書簡の中で、中央情報局（CIA）の2017年の内部報告書を用いて、諜報機関が自らの身を守ることを絶えず怠ってきた方法を詳述している。

「情報機関は未だに遅れをとっており、連邦政府の他の場所で広く使われている最も基本的なサイバーセキュリティ技術の導入さえも怠っている」と、ワイデン議員は書いている。

ワシントン・ポスト紙が編集して入手したこの報告には、諜報機関のエリートハッキング部隊が、攻撃的なサイバー兵器の開発を好む一方で、最も重要なシステムの一部の安全を確保できていなかったことが詳細に記されている。アメリカ政府関係者によると、これはCIA史上最大のデータ損失であったとのことだ。

書簡の中でワイデンは、失敗は現在も続いていると主張し、3つの具体的な失敗例を挙げ、議会は諜報機関を通常の連邦政府のサイバーセキュリティ要件の対象とすべきだと主張している。「残念ながら、情報機関を通常の連邦サイバーセキュリティ要件の対象から除外したのは間違いであったことは、今では明らかだ」。

欠点の嵐

ワシントン・ポストのEllen Nakashima、Shane Harrisの調査報道は、ウィキリークスが8,000ページ以上の「Vault 7」文書を公開し、様々なOSや携帯電話、メッセージングアプリをハッキングするCIAの能力について、前例のない見解を示したことを記録している。元CIA職員のシュルテは、後に起訴され、大量のハッキングツールを盗み、それをウィキリークスに渡して公開したことに対して無罪を主張した。3月、シュルテは法廷侮辱罪とFBIへの虚偽の陳述で有罪判決を受けたが、裁判の陪審員は、シュルテが国防情報を違法に収集して送信していたかどうかで行き詰まったままだった。無効審理が宣言された後、シュルテは再審理の見通しに直面している。

窃盗の対象となったのは、サイバーインテリジェンスセンター（CCI）として知られるCIAのエリートハッキング部隊で、内部調査によると、公表されていなければ、最大で34テラバイトのデータが盗まれたことを知ることはなかったかもしれないという。実際、同庁は、被害を受けたミッションシステムには「活動監視やその他の安全対策が必要なかった」ため、損失の正確な範囲をまだ把握していないことを認めている。

報道は、CCIハッキング部隊の「ミッションシステム」における重大なセキュリティ障害と、CIAのコンピュータネットワークの大部分を占めるCIAの「エンタープライズ」システムにおける一般的なサイバーセキュリティの成功との間に対称性が生じていることに光を当てた。

報道によると、部隊のサイバー兵器は、ミッション・ネットワークにアクセスできる誰にでも広く公開されており、ネットワークには通常の監視・監査機能が欠如していたという。「欠点」の嵐により、セキュリティは優先順位のはるか下に落ちることになった。

報道には「CIAは、企業の情報技術システムの安全性をいち早く確保していましたが、急性の脆弱性を修正することができませんでした」と書かれている。日々のセキュリティ対策はひどく甘くなっていたようだ。

セキュリティ上の問題

この報道は、世界で最も資金力があり、攻撃力の高いクラッカーが、防衛面では苦戦していることを示していることを知らしめた。

CIAにとって、この10年間は、注目を集めた複数のデータ漏洩事件が頻発し、それに続いてサイバーセキュリティの体系的な変更を求める声が繰り返されてきた。CIAや国家安全保障局のような諜報機関は、議会が連邦政府の他の部分に課した規則を免除されていた。これらの機関は、これらの基準を簡単に上回ることが期待されていたが、それは実現していなかった。

実際、米国の諜報機関の監視機関は2019年に報告書を発表し、各機関に対し、機密文書に関する管理を改善するよう促している。特に、スノーデンによるNSA文書の流出事件や、マニングによるイラク戦争に関連する米国の機密文書の流出事件など、過去10年間に頻発したインサイダーの脅威に対抗するためだ。

ワイデンが強調した問題の中には、2017年に連邦政府機関に義務付けられた指令にも関わらず、諜報機関が一般的で非常に効果的なフィッシング攻撃から身を守る電子メール認証プロトコルであるDMARCの採用を怠っていることがある。一方、情報機関は、2019年1月に国土安全保障省からイランのハッカーにシステムが狙われているとの警告を受けたにもかかわらず、「.gov」のドメインを多要素認証で確保していない。

2019年に発表されたインテリジェンス・コミュニティ・インスペクター・ジェネラルの報告書では、セキュリティ関連の20の勧告が各機関で未対応のままであるが、機密扱いのままであると結論づけられている。

CIAにとって良いニュースがあるとすれば、それは、ハッキングツールやソースコードを含む、CIAの最も機密性の高いファイルが、内部対策本部の結論では、盗まれていないことだ。

"CIA Lobby Seal" by theglobalpanorama is licensed under CC BY-SA 2.0