ジェイソン・チャフェッツ下院議員が委員長を務める下院監視・政府改革委員会が発表した新たな報告書は、米国政府史上最大規模のデータ侵害事件の責任を、元OPM最高情報責任者のドナ・シーモア氏とキャサリン・アーチュレッタ長官に負わせたとしている。
米国政府による過去最大のデータ侵害
OPMハッキングにより、2,150万人の機密ファイルが漏洩しました。そのうち420万人は現職および元連邦職員で、残りは彼らの近親者でした。また、560万件の指紋も漏洩しました。これらの指紋が漏洩した場合、生体認証には二度と使用できない可能性があります。
このハッキングがいかに重大で、米国政府にどれほどの影響を与えたかを皆に思い起こさせるため、報告書には現職および元職の諜報機関や法執行機関の高官の発言がいくつか引用されている。
「これは王冠の宝石のような資料であり、外国の情報機関にとっては金鉱だ。これはアメリカの人的情報活動の終焉ではないが、大きな打撃だ」と、元NSA上級顧問は述べた。「この損害を取り消すことはできない。済んだことは済んだことであり、修復には何十年もかかるだろう」と、元NSA職員のジョン・シンドラーは述べた。「[SF-86は] [職員の]機密情報取扱許可に脅威となる可能性のあるあらゆる情報を提供する」と、元国土安全保障省職員のジェフ・ニールは述べた。 「私のSF-86には、18歳から今まで住んだ場所、海外旅行、家族全員の住所がすべて記載されています。ですから、影響を受けるのは私の個人情報だけではありません。兄弟姉妹もいますし、子供が5人います。そのすべてがそこにあります」と、FBI長官のジェームズ・コミー氏は述べた。「[OPMデータ]は、情報化時代を代表する人々が消えるまで、中国人にとって入手可能な情報の宝庫であり続けます。これを修正することはできません」と、元CIA長官のマイケル・ヘイデン氏は述べた。
指紋と社会保障番号も盗まれましたが、最も機密性の高い情報は標準フォーム86(SF-86)ファイルに記載されていました。これらのファイルは、機密情報にアクセスするためにセキュリティクリアランスを必要とする人が必要とするものです。SF-86ファイルには、将来のデータ侵害の足掛かりとして利用される可能性のある情報が含まれています(盗まれた指紋など、政府のすべての新システムですべての情報が失効・拒否されない限り)。
SF-86ファイルには、従業員が違法薬物を使用したか、アルコールを乱用したか、ギャンブルをしたか、特定の精神疾患について医療専門家に相談したかといった個人情報も含まれていました。こうした情報は、脅迫材料として利用される可能性があります。
ある意味、こうした情報を求めるのは逆効果のように思えます。米国政府は、将来の職員に、脅迫に使える可能性のあるあらゆる情報を漏らさせようとしています。しかし、その脅迫資料は何百万人もの職員のために一箇所に保管されています。システムのセキュリティがどれほど優れていても、それはあまりにも魅力的な標的となり、ハッキングされるのは時間の問題です。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
10年間のセキュリティ問題
下院報告書によると、OPMのシステムのセキュリティ監査を実施したOPM監察総監(IG)は、少なくとも2005年から、データがハッカーに対して脆弱であると警告していた。9年後の2014年、監察総監はOPMのセキュリティ格付けを「重大な弱点」から「重大な欠陥」に引き上げた。つまり、OPMのシステムは依然として非常に脆弱だったということだ。そして、それはOPMへのハッキングが発生したのと同じ年だった。
その1年後の2015年、IGは「OPMは多くのFISMA要件を満たすのに苦労し続けている」こと、そして「機関のITセキュリティプログラムに全体的にコンプライアンスが欠如しているようだ」ことを報告しました。
OPMが侵害発生から1年後にこの情報を公表した後、一部のセキュリティ企業は、職員が二要素認証を使用していれば被害は大幅に軽減できた可能性があると指摘しました。2015年の行政管理予算局(OMB)の報告書でも、OPMは「認証プロファイルが最も脆弱な」数少ない機関の一つとされています。
OPMは、セキュリティ評価と有効な運用許可(ATO)なしに一部のシステムの運用を許可していました。2014年、IGはATOのないOPMのITシステムの増加を「憂慮すべき事態」と指摘しました。
OPMのデータ侵害は2人の攻撃者によって実行され、下院委員会は両者が共謀していた可能性が高いと考えています。OPMとDHSが「ハッカーX1」(委員会が最初のハッカーに付けた名前)をシステムから排除しようとした頃には、「ハッカーX2」がシステムにバックドアを仕掛けていました。OPMのセキュリティシステムとITポリシーの脆弱性により、バックドアは検出されませんでした。
侵入は防げたはずだった
報告書によると、OPMのITセキュリティ衛生の欠如、重要データのセキュリティを優先することへの消極的姿勢、そしてハッカーX1がシステム内で何をしようとしているのかを数ヶ月にわたって監視した上で警告を発するというOPM幹部の決定が、2150万人の個人情報が漏洩した主な要因となっている。OPMがより迅速に行動し、ネットワークのセキュリティ対策を早期に開始していれば、攻撃者は最も機密性の高い情報を盗み出すことはできなかったかもしれない。
OPMが二要素認証と予防的なセキュリティ対策を導入し始めたのは2015年4月になってからでした。OPMのような高価値な標的は、アンチウイルスやファイアウォールといったセキュリティソリューションだけに頼ることはできません。ファイアウォールは高度な攻撃者によって回避される可能性があり、高度な攻撃者がアンチウイルス企業によって既に解析されているソフトウェアの脆弱性やマルウェアを利用することはまずありません。そのようなシステムにアクセスするには、ゼロデイ脆弱性攻撃を利用する可能性の方がはるかに高いため、そのような脆弱性攻撃に有効なセキュリティソリューションを使用する必要があります。
下院委員会は、OPMにはデータ漏洩を防ぐための手段があったものの、不十分なセキュリティ文化と方針のためにそれを活用できなかったと主張した。委員会は、ベス・コバート長官代行の新たなリーダーシップの下、数十年にわたる不適切な管理が是正されることを期待している。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
