このページの本文へ

Q&A

インテル セキュリティCTOに聞く、Yahoo!の情報流出、米国大統領選などについて

2016年11月07日 13時17分更新

文● McAfee

  • この記事をはてなブックマークに追加
  • 本文印刷

 ここ数日のうちに、米国大統領選投票者登録サイトがサイバー攻撃を受けたことが大々的に報道され、クリントン氏とトランプ氏が大統領選テレビ討論会でサイバー攻撃を中心とする議論を交わし、さらにはサイバー攻撃によってYahoo!の5億件以上のユーザーアカウントが侵害されたことが新たに発覚しました。

 インテル セキュリティのCTOである Steve Grobmanは、こうした事件や侵害の発覚に対して寄せられた質問に次のように回答しています。

 数十の州の投票者登録用ウェブサイトに対するサイバー攻撃が確認されたというFBI(英文)国土安全保障省(英文)の発表についてどう考えますか?

 「この発表によって懸念が高まったことは事実です。選挙は匿名で行なわれるべきであり、個人の投票は追跡できるものであってはなりません。FBIによると、3分の1の州とワシントンDCが提供しているタイプのオンライン投票人登録サイトが標的にされました。犯人はハクティビストです。おそらく彼らは、米国の選挙システムに対する信頼を揺るがすことを目的としていましたが、注目を集めたこの1つの攻撃を仕掛けただけでその目的は達成されました。」

 5億件を超えるYahoo!ユーザーアカウント流出の主犯は政府支援のハッカーではなくサイバー犯罪者で、彼らがデータを国家に売買したという報道についてどう考えますか?

 「世界中のほとんどの国家では、サイバー防御が劣っているという問題を抱えていますが、一部の国家ではサイバー攻撃面が優れているというギャップが生まれています。またこうした国家には、サイバー攻撃のデジタル性に起因する動的な影響を受ける、つまり攻撃を仕掛けたことが割り出されるというリスクがあります。したがって、攻撃力の優れた国家は、さまざまな戦術を駆使してこうしたリスクを軽減するとみられています。実際、戦略的な目標達成のために、国家が犯罪者や民間組織と提携することも戦術として考えられます。

 そのため、わずかな兆候を、決定的な証拠として解釈しないように注意を払わなければなりません。

 たとえば、盗難データが犯罪者の地下ネットワークを通じて流出したとしても、実際にはサイバー攻撃を行なった国家が、一般的なサイバー犯罪者による侵害に見せかけようとしているだけかもしれません。また、国家に雇われた人物が引き起こした副次的影響である可能性もあります。同様の偽造はその逆のケースでも行われます。つまり、犯罪者やテロリストのグループが戦術を駆使して、自分たちの犯行を国家の犯行に見せかけるのです。」

 スパイ活動の一環として、国家が米国企業のユーザーの電子メールをハッキングする可能性についてはどう対処するべきでしょうか?

 「国家にとって、そうした大規模な侵害を画策する政治的または戦略的インセンティブは、サイバー犯罪者にとっての明らかな金銭的インセンティブと同様に重要です。ライバル国家の情報機関が、政治、政府、軍事、あるいは企業の情報に関する個人ユーザーのメッセージを見つけてアクセスする可能性はあると思います。

 最近漏えいして内容が公開された、元米国務長官のパウエル氏の個人的な電子メールメッセージの例を考えてみてください。平均的な一般市民のメッセージよりも抑えられた表現ではあったものの、公開された彼のメッセージの中には、政治的にも他の政府機関との間でも物議を醸すような発言が含まれていました。

 抑制のきかない/奔放な候補者、国家機密機関のトップ、上官、CEOの電子メールには、キャリアを台無しにする、脅迫を許す、ミッションを危険にさらす、あるいは高官レベルの交渉や決定に影響を与えるに十分な機密情報が含まれている可能性があります。」

 VerizonのYahoo!買収計画に関連する質問ですが、企業のコンピューターセキュリティー分析は、買収の際デューディリジェンスの一部として行なわれますか?

 「一般的にテクノロジー企業は、買収対象企業のサイバーセキュリティー体制を評価するために、買収前にデューディリジェンスを実施します。このデューディリジェンスには、IT侵害リストの提出依頼、セキュリティー監査や認定の結果の見直し、ITセキュリティーのポリシーと手順の評価、プライバシーポリシーの見直し、企業が保有する個人情報の特性の評価など、さまざまな要素が含まれています。」

 通常こうした分析は誰が実施しますか。買い手企業、または売却する側が料金を支払うのですか?

 「多くの場合、セキュリティー関連のデューディリジェンスは、買い手企業内の内部チーム、必要な場合には第三者の専門家も含めて行なわれます。第三者による評価のコストは、通常は買い手企業が負担します。」

 分析で今回のような侵害は見つかるのですか?

 「一般にデューディリジェンスプロセスでは、把握できたIT侵害を開示する必要があります。デューディリジェンス中に実施されるセキュリティー監査やそのほかの調査では、将来侵害が発生する可能性や、発生したIT侵害が見逃されていないかが検証されます。」

 ヒラリー クリントン氏とドナルド トランプ氏の大統領選テレビ討論会でサイバーセキュリティーが大きく取り上げられたことについてはどう考えますか?

 「討論会の国家セキュリティーに関する対話の冒頭でサイバーセキュリティーが取り上げられたことには驚きました。ITバックオフィスの一部門で管理されていたサイバーセキュリティーが、米国の大統領執務室で管理される課題となってから、まだ数年しかたっていません。

 さまざまなイベントによって政府の行動が促されているわけですが、サイバー戦争が陸上、海上、空での戦争と同様に重要であることに対する我が国のリーダーの認識が高まっていることは確かです。今週のテレビ討論会でサイバーセキュリティーが活発に議論されたことは米国にとって非常に大きな進歩であり、今後何年にもわたってさらに進歩していくはずです。」


 ※本ページの内容は 2016年10月3日更新のMcAfee Blog の抄訳です。

 原文: CTO Q&A: Campaign Hacks, Yahoo! and Clinton-Trump
 著者: Chris Palm(director of corporate communications for Intel Corporation’s Intel Security Group)

 【関連記事】
 サイバー犯罪者がYahooに侵入、5億人のユーザーに影響

カテゴリートップへ