Enterprise Watch
バックナンバー

副大統領候補のメール流出-Webメールの脆弱性を露呈


 「時の人」、共和党副大統領候補のSarah Palin氏のメールボックスがハッキングされた。破られたのはYahoo! Mailのアカウントで、受信ボックスのスクリーンショットやプライベートの写真がネット上に流出した。民主党のHillary Clinton氏の立候補がなくなったあと、唯一の女性候補であり、なにかと注目度が高い。並みのメールハッキングでは済まない事件になった。


 事件は9月16日、投稿方式の情報暴露サイトとして有名な「Wikileaks」から明らかになった。Wikileaksは“Anonymous”を名乗る人物から「Palin氏のメールアカウントのハッキングに成功した」というメッセージとともに、コンテンツのZIPファイルを受け取ったと発表した。このZIPファイルには、Palin氏のYahoo!メールのスクリーンショットが5枚、アドレス帳、電子メールアカウント情報などのほか、家族の写真2枚が含まれていたという。

 実際にPalin氏のアカウントにメールを送ったAmy McCorkell氏は、Wiredの取材に対して、流出したメールは自分がPalin氏に送ったものに間違いないと述べている。MaCain-Palin選挙事務所も翌日、Palin氏のメールがハッキングされたことを認めた。現在、FBI(米連邦捜査局)のほかに、シークレットサービスも捜査中といわれている。


 この事件では、2つの問題がクローズアップされている。

 1つ目は、Palin氏が私用の電子メールアカウントを仕事に使っていたことだ。米国では情報公開法によって、政府関係者の公務でのやりとりは、承認された通信チャネルを使うことが義務付けられている。Palin氏はアラスカ州知事として公務に携わる立場にあり、Yahoo! Mailを仕事に使うわけにはいかない。同氏が、私用電子メールアカウントを仕事にも使っているといううわさは、以前からあったのだが、ハッキングで、それが実証されてしまったわけだ。

 バツが悪かったのは、仕事に使っているとみられていた私用メールアドレスはgov.sarah@yahoo.comだったのに、実際にハッキングされたのはgov.palin@yahoo.comだったことだ。この両アカウントは、ともに事件発覚のあと削除されている。

 さらにWashington Post紙は、サービス事業者のITS Alaskaが「PalinForGovernor.com」を含む電子メールシステムをPalin氏のために設定し、10~15のアカウントがあったとスクープした。つまり、Palin氏は、複数の私用メールアカウントを仕事に使っており、これがバレてしまったのだ。

 メールハッキングはプライバシー侵害であり、Palin氏はその被害者である。しかし、こうした公務での私用メールの利用は公私混同であり、副大統領候補としてのイメージに悪影響を与えうる。大統領・副大統領選では、両陣営が互いに相手の過去をほじくり返し、イメージを損なうような材料をみつけては、攻撃を加えるのである。


 2つ目の問題は、Webメールのセキュリティだ。

 今回、Palin氏のアカウントへのアクセスには、Yahoo!のパスワード再設定機能が利用されたといわれている。つまり深い技術的知識ではなく、ソーシャルエンジニアリングの一種によって破られたのだ。

 犯人は、インターネットで公開されている情報を参照しながらPalin氏のパスワード復旧を行ったようだ。Los Angeles Timesなどによると、英語版の掲示板サイト4chan.orgに、ハッキングしたと名乗る人物の書き込みがあり、「WikipediaとGoogleを利用して、45分でやった。誕生日? Wikipediaを見て15秒。郵便番号? 彼女はワシラ在住だったはずで、2つしか選択肢はない(オンライン郵政サービスのおかげだ)」などと記していたという。

 手間取ったのは「どこで配偶者と出会ったか?」という「秘密の質問」で、最終的にPalin氏の高校名を入れてみたところ、“ビンゴ”だったようだ。一度パスワードの再設定に成功すれば、あとは意のままとなる。

 Webメールのアカウントをハッキングするのは、難しくなかったのだ。


 このところ、SaaSやクラウドコンピューティングが脚光を浴びている。Yahoo! Mailや、GoogleのGmailなどのWebメールの活用は、個人だけでなく企業ユーザーにも検討されつつある。だが事件は、こうした動きに「待った」をかけそうだ。

 PC Worldは「パスワードリカバリは、安全性と利便性の境が非常にあいまいな分野で、多くの場合安全性の要素は存在しない」としている。パスワード復旧に用いられる秘密の質問を個人仕様のものに設定したとしても、「有名人ではない個人の情報でも、SNSやブログによって簡単に収集できるようになっている。ハッカーが一度決意すれば、時間の問題だろう」と注意を求めている。

 Gartnerも同意見だ。Webメールを仕事に使う企業に対し、1)企業リソースから私用Webメールへのアクセスの許可・禁止に関するポリシーを明確にする、2)許可する場合は、セキュリティに関する知識啓発やトレーニング活動を定期的に展開する、3)コンテンツモニタリング、フィルタリング、データ漏えい予防対策、パスワード生成トークンなどの強固な認証ツールを利用する、4)リスク軽減などの観点から不適切と思われる環境ではWebベースの私用電子メールのアクセスを遮断する、などをアドバイスしている。

 FBIは事件の数日後、テネシー州のテネシー大学学生David Kernell氏の大学寮を捜査した。4chan.orgで書き込みをした人物をたぐっていったところ、Kernerll氏のメールアドレスにたどり着いたという。全容の解明が待たれる。



URL
  Wikileaksの記事
  http://wikileaks.org/wiki/VP_contender_Sarah_Palin_hacked
  http://wikileaks.org/wiki/Sarah_Palin_Yahoo_account_2008
  Los Angeles Timesの記事
  http://latimesblogs.latimes.com/webscout/2008/09/supposed-palin.html
  Washington Postの記事
  http://www.washingtonpost.com/wp-dyn/content/article/2008/09/30/AR2008093002699.html?hpid=topnews
  PC Worldの記事
  http://www.pcworld.com/businesscenter/article/151317/palin_email_hack_shows_webmails_flaw.html
  Gartnerのリサーチノート
  http://www.gartner.com/DisplayDocument?id=760717&ref=g_sitelink&ref=g_SiteLink


( 岡田陽子=Infostand )
2008/10/06 09:08

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.