アメリカ合衆国下院議員のインターンが情報漏えいで逮捕・企業が学ぶべき教訓は何か?

2018/11/07

1.jpg

個人情報の漏えいに関するニュースは、圧倒的に企業による漏えいが多く報じられていますが、政治の世界でも漏えいは起こっています。以下では、アメリカで起こった意図的な情報漏えいについてご紹介します。

 

 

約1カ月間勤務したインターンが意図的に情報漏えい

2.jpg

2018年5月から約1カ月間、テキサス州選出のシェリア・ジャクソン・リー下院議員のオフィスでインターンとして勤務していたジャクソン・コスコが、共和党の上院議員の個人情報を意図的にネット上で公開したとして逮捕された、とアメリカのニュースサイトで報じられました。

民主党支持者のコスコ容疑者は、対立する共和党所属の上院議員のWikipediaの項目に、自宅住所、個人の携帯電話番号、オフィスの電話番号などを公開しました。その後、議員のWikipedia変更情報を追跡するTwitterアカウント (botアカウント) が変更を検知、自動でツイートを送信することにより、多くの人に個人情報が知られることになりました。

なお、コスコ容疑者は、ジャクソン・リー下院議員のオフィスでインターンとして勤務する際に、議員がアクセスできる認証情報を利用して、トランプ大統領により最高裁判事に任命されたブレット・カバナー判事に賛成票を投じた議員の情報を狙って公開したことが判明しています。

なお、多くの個人情報漏えい事件は、個人情報をお金に換えようとするのが動機です。しかし、今回の事件のように「政治的な動機で対立する党の議員の個人情報を漏えいする」こともあり得るため、「漏えいされたところでお金になる情報ではない」場合でも警戒が必要だと言えます。

 

 

認証情報の管理に問題があった可能性

3.jpg

この事件については、まだ調査が続行中ですが、ジャクソン・リー下院議員のオフィスにおける認証情報の管理が適切に行われていなかった可能性あります。つまり、入ったばかりのインターンに対して、議員しかアクセスできないデータベースへの認証情報を与えた、もしくは認証情報が簡単に利用できる状況にあったということです。

そして、一般的に考えて「来たばかりのインターンが、議員の個人情報にアクセスできるシステムを利用する」のは違和感があります。他の議員に連絡をする必要があるスタッフ、議会対策を行うスタッフなどであれば、議員の個人情報にアクセスする必要はあったかもしれません。しかし、コスコ容疑者は情報システムの専門家としてインターン採用となっています。情報システムの専門家が他の議員の個人情報にアクセスする必要があるとは考えにくい、といってよいでしょう。

ちなみに、「議員はコスコ容疑者に認証情報を与えていないが、認証情報が容易に推測できた」可能性もあります。例えば、議員がAというサービスで使っているIDとパスワードを「共有情報」としてインターンに教えていたとします。そして、サービスAと全く同じIDとパスワードを別なBというサービスで使い回していたら、不正アクセスは容易になります。

また、パスワードは教えていない場合でも、不正アクセスが可能な場合もあります。例えば、議員のオフィスでパソコンを共有にしている場合や、前任者が使っていたパソコンを再インストールせずに別な人に使わせる場合などです。これらの場合は、ブラウザに各サイトにログインするためのID・パスワードがそのまま残っている可能性があります。もしそうだとすれば、ログインボタンを押すだけですぐにログインできてしまいます。

 

 

この「防げた事故」は企業にとって他人事ではない

4.jpg

インターンとして業務を行う上で、議員のオフィスである程度の情報にアクセスする必要はあったでしょう。しかし、入って間もないインターン対して、議員しかアクセスできないデータベースへのアクセス権を渡す、もしくはアクセスできる状況とするのは不適切と言わざるを得ません。

この事件は防げた事故です。このオフィスで働く人に対して、以下の対策を行っていれば、この事故は起こらなかったでしょう。

  • 業務遂行に必要なシステムのアクセス権のみ渡す
  • 過去の利用者の認証情報が残っているパソコンやスマートフォンを利用させない
  • パスワードの使い回しを防ぐなどの対策を行い、パスワードを推測させない

ここで話が終われば、日本の多くの人にとっては「アメリカという別な国で起こった『自分には関係ない話』」です。しかし、これと同じことは日本でも容易に起こり得ます。例えば、以下のような運用をしている企業は、まだまだ多いのではないでしょうか。

  • 学生インターンに、会社の全システムのアクセス権を与える
  • どの従業員が、業務上どのシステムへのアクセス権が必要かを考えずに、一律にアクセス権を付与する
  • 誰がどのシステムにアクセスできるかを把握していない

よって、これを対岸の火事とするのではなく、自社でも容易に起こり得る問題として考えるべきです。特に、人手が足りない中小企業は情報システムに専任のスタッフを配置できないことがほとんどなので、より真剣に考えるべきしょう。

 

 

トラスト・ログインでパスワードを使うアクセスを一元管理する

5.jpg

従業員やスタッフの、システム・サービスに対するアクセス権を一元的に管理し、必要なシステム・サービスへのアクセス権のみを与える方法として「クラウド型パスワード管理製品」を利用する方法があります。当社のトラスト・ログインのその一つです。

トラスト・ログインを利用することで、従業員・スタッフはシステム・サービスへのログインを全てトラスト・ログイン経由で行うことになります。トラスト・ログインの管理者は「誰に、どのシステム・サービスへのアクセス権を与えるか」を全て管理でき、かつ常に一元的にアクセス状況を一覧できます。よって、「誰が、どのシステム・サービスにアクセスできるか」を見て分かるだけでなく、「誰が、どのシステム・サービスに、いつアクセスしたか」の履歴も見ることができます。

例えば、もし営業部の従業員が経理部しかアクセスする必要がないシステムにアクセス権を持っていることが分かった場合、すぐにそのアクセス権を停止し、不必要なアクセスを防ぐことができます。

トラスト・ログインは基本機能無料で利用でき、一部有料機能も1ユーザー月間100円から利用できるという非常に安価な価格設定になっています。まずは、貴社でどのように活用するかを考えるために、新規登録(無料)頂き、お試しください。