セキュリティゆるゆるすぎ。

春5月。燦々と降り注ぐ朝の光の中、われわれ共同取材班は海に出ました。目的は魚ではありません。

トランプ氏の高級会員制クラブ「マー・ア・ラゴ」の沖合約250mに5mのモーターボートを停め、じゃがいもバズーカ状の全長60僂離▲鵐謄覆鮓けると、1分もしないうちにこの日の漁果が引っかかりました。
暗号化が手薄なWi-Fiネットワーク3件。「5分もあればハックできるな」と思いましたが、やめておきました。

それから数日後。ニュージャージー州ベッドミンスターの「トランプナショナルゴルフクラブ」敷地内に車で入り、例のアンテナを取り出してクラブハウスに向けて構えてみると、今度も引っかかりました。暗号化ぬきのWi-Fiネットワーク2件。「誰でもパスワード抜きにログインできるな」と思いましたが、なんとか堪えました。

さらにドナルド・トランプ一族が経営するワシントンD.C.の「トランプ・インターナショナル・ホテル」とバージニア州スターリングのゴルフクラブで試してみた結果わかったのは…

・暗号化がザル、暗号化がゼロのWi-Fiネットワークがある
・パスワード制御なしのワイヤレスプリンターがある
・旧式で脆弱なソフトウェアのサーバーがある
・機密データを保管したバックエンドのデータベースのログイン画面も暗号化されていない

…というお粗末な実態です。

情報窃取はもちろんのこと、高度なハッカーはWi-Fiネットワークの脆弱性を突破口にパソコンやスマホを乗っ取り、そこから敷地内の会話の録音も可能になってしまいます。「この種のネットワークを狙っているのは取材班だけじゃない。外部の侵入者がうようよ群がっていると思った方がいい」と、デジタルセキュリティ会社Immunity, Inc.のCEOのDave Aitelさんは感想を語っていました。

トランプ大統領のマー・ア・ラゴのハックは魚釣るより簡単(試してみた)

「マー・ア・ラゴ」の沖合に小舟を浮かべたら、セキュリティの甘いWi-Fiネットワークはすぐ検出できました。使ったのはこの指向性アンテナと市販ソフト。
Photo by Surya Mattu

セキュリティの脇が甘くハッカーの格好の標的になっているのはどこの観光ホスピタリティ企業も似たようなものですけど(他業種も政府もね)、でも、一国の大統領と高級官僚が足繁く訪れる場所でこれではちょっと心配ですよ。

米国とフランスの大統領選で明らかになったように、最近はハッカーがインターネットのセキュリティシステムの脆弱性を悪用し政治を動かす事件が増加中です。ちょうど先日もNSAから盗まれたサイバー兵器の悪用で英国の病院からロシアの内相まで世界中がパニックする騒ぎがありました。

トランプ大統領は自社の高級リゾートに賓客を招くのが大好きで、これまでにもてなした賓客には中国の習近平大統領、日本の安倍晋三首相、英国のEU離脱先導者ナイジェル・ファラージ氏もいます。今回の取材では、これらの外交協議をはじめ、敷地内で交わされる機密の対談の内容が外部に筒抜けになっていてもおかしくないという、憂慮すべきサイバーセキュリティの現状でした。

トランプ・オーガナイゼーション広報のAmanda Millerさんに取材してみたところ、このように答えてくれました。

「弊社はサイバーセキュリティのベストプラクティスを実践しています。近年はどこの企業もそうですが、弊社も常に米国の優良企業の営業妨害目的のサイバーテロリストの標的となっています。具体的なセキュリティ対策についてはコメントできませんが、専門チームが最高品質のファイアウォールを導入し、24時間365日体制でプラットフォームを監視しており、弊社の事業と情報の保護対策は万全と考えます。」

ホワイトハウスにもコメントを何度か求めましたが、返答はいただけませんでした。


軍所轄のキャンプ・デービッドとあまりにも差があり過ぎる

トランプ氏のリゾートは過去にも不正侵入されています。昨年はニューヨーク州の検察から、傘下ホテルチェーンでクレジットカード7万枚以上の情報と社会保障番号302件を窃取された件の情報開示が不十分だったことで罰金5万ドルを払い、クレジットカード管理システムのセキュリティの強化に努めると誓ったばかりです。

一方、歴代大統領の別荘のキャンプ・デービッドは軍用地なので、ホワイトハウス同様、アメリカ国防情報システム局(DISA)がそのコンピュータとネットワークを運用しており、ガードは鉄壁です。

2016年にはホワイトハウスとキャンプ・デービッドのネットワーク管理だけで6400万ドル(約71億円)、ネットワーク侵入阻止のための「防衛ソリューション、人、技術、サイバー攻撃の検出、緩和、防衛対策」にさらに200万ドル(約2億2000万円)以上を投じています。

それだけかけても尚、侵入が皆無と言うわけではなく、2015年にはロシアにハックされたことをホワイトハウスが認める一幕もありました。情報筋によると、あの事件後、ホワイトハウスではコンピュータシステムを全部入れ替えたそうです。ホワイトハウスで働く職員は全員、「あなたたちがしている全ての行動は常に誰かが見張ってていると」と言われていると、オバマ政権当時の米国デジタルサービス(USDS)総責任者のMikey Dickerson氏は語っています。

それに引き換え、マー・ア・ラゴは2016年にセキュリティに割いた予算はたったの442,931ドル(約5000万円)で、クラブ入会初期費用の200,000ドル(約2200万円)に毛の生えた程度です。デジタルセキュリティにかける経費を聞いてみたんですが答えてもらえませんでした。ちなみにトランプ氏が昨年、マー・ア・ラゴの上を飛ぶ民間の飛行機がうるさいと文句を言い、上空飛行禁止を求めてパームビーチ郡を訴えたときの資料によれば、トランプ氏のクラブは現在会員500弱で、おのおの年会費14,000ドル(約156万円)を支払っており、計1,703,163ドル(約18931万6786円)を運営費に割いているという内訳です。なお、この訴訟は後に取り下げになりましたが、連邦航空局は現在、大統領滞在中クラブ上空の飛行を制限しています。

トランプ氏が脆弱なネットワークに接続しているかどうかはわかりません。いちおうアメリカでは外出時には大統領に持ち運びできるセキュアな通信機器を手渡す決まりになっています。先月マー・ア・ラゴでシリア空爆の映像をリアルタイムで見守ったときには、一般客を締め出したシチュエーションルームに篭って、これでネットにつなぎました。

無論、毎回徹底していない節もあります。一番有名なのは2月の北朝鮮のミサイル発射後の安倍氏&トランプ氏の会談で、あのときは付近の一般客が写真を連続投稿(写真下)し大騒ぎになりました。敷地内の脆弱なWi-Fiで付近の一般客が接続していた場合、ハッカーはその端末を乗っ取り盗聴も可能ということになりますからね。ちょうど同じ週末には大統領がAndroid携帯で21本ツイートしましたが、専門家がそのツイートから大統領の使用端末を解析してみたら2015年のモデルで、NSAが機密情報に使用を認めている機種よりもさらに古いこともわかっています。

トランプ大統領のマー・ア・ラゴのハックは魚釣るより簡単(試してみた)

Facebook Images by Richard DeAgazio

この安倍氏&トランプ氏の件で事態を重く見た民主党上院議員4名は後日、政府アカウンタビリティ局(GAO / 旧米国会計検査院)にマー・ア・ラゴの通信環境のセキュリティについて調査を要請してもいます。

これを受け、GAOは3月に調査開始に同意したはずなのですが、あれはどうなったのかな? と思って広報のChuck Youngさんに取材してみたら、「まだ調査の初期段階」で、いつ頃終わるのかもわからないということでした。

しょうがないので、米Gizmodo Media Group特別取材班とProPublicaの共同取材は実際現場を回って調べてみることにしたのです。


マー・ア・ラゴ

最初に行ったのは「マー・ア・ラゴ」、フロリダ州パームビーチにあるトランプ氏のカントリークラブです。大統領は就任後ほとんどの週末をここで過ごしています。クラブを車で通りかかったら、Wi-Fi対応のプリンターとスキャナーがさっそく検出されました。一般公開のWi-Fiデータベースによれば、少なくとも2016年2月からずっとアクセス可能だった模様です。

プリンターにアクセスできても特に支障ないように見えますが、ハッカーの手にかかるとプリンターで印刷される全文書を見られてしまうし、ここを突破口に全ネットワークに侵入されちゃうので、案外恐ろしいものなのです。

この侵入防止のためホワイトハウスおよび軍用通信ネットワークが担当の米国防情報システム局(DISA)は、外部ネットワークから不特定多数の人が接続できるプリンターの使用を全面的に禁じています。また、印刷なら印刷だけできる機種を使うよう推奨し、ファックス兼用の機種はその使用を控えるよう警告しています。セキュリティ対策ガイドの中でも「攻撃者がこれらの端末の通信アクセスを確保すると、広範な情報窃取が可能になる」と書いています。

取材班の調査では、設定が不正で暗号化のかかっていないルータも検出されました。これもハッカーの格好の侵入ポイントです。

海に舟で回り込んで調べたら、Wi-Fiネットワーク3件はWEPという大昔の暗号化技術(簡単にパスワードがバレる)をいまだに使っていました。2005年にFBI捜査官が数分で突破するデモを実演した、絶対使って欲しくない暗号化技術です。

一方、軍所轄のキャンプ・デビッドとホワイトハウスでは、シグナル強度にも制限を加えているので、付近を車で通ったぐらいではアクセスできません。また、暗号化も常に最強の技術の使用が義務付けられています。もう雲泥の差なんですね。

念のためニューヨークの編集部に戻ってクラブの公式サイトを調べてみたら、データベースはログイン画面に標準のネット暗号化の保護すらかかっていないことがわかりました。セキュリティの危険度が高いとDISAが警告しているタイプのログイン画面をそのまま使っているのです。

暗号化がかかっていないと、スパイがネットワークに潜伏して職員がログインするのを待ち、職員が入力するユーザーネームとパスワードを盗んでしまえるんですね。で、それを使ってクラブの会員と家族の部外秘情報を含むデータベースなんかもダウンロードできちゃうのです。

トランプ大統領のマー・ア・ラゴのハックは魚釣るより簡単(試してみた)

マー・ア・ラゴのログイン画面。暗号化がかかっていないので、マー・ア・ラゴのネットワークに侵入した人は誰でもログインする人のユーザーネームとパスワードを窃取できてしまう。


取材結果を報告すると、「ひどいなこれは。もうデータは誰かに盗まれていて、システムも侵入されているだろう」と、サイバーセキュリティ会社「SentinelOne」セキュリティ戦略チーフのJeremiah Grossmanさんはそう感想を語ってくれました。

ベッドミンスターのゴルフクラブ

数日置いて取材班は再び機材を持ってニュージャージー州ベッドミンスターにあるトランプ氏のゴルフクラブへと向かいました。ここは政権移行中、ジェームズ・マティスアメリカ現国防長官をはじめ、閣僚候補の重鎮を続々と招いて協議した場所です。

さて、さっそくゴルフコースの真ん中の土の道に車で入ってみました。するとオープンなWi-Fiネットワークが2件検出されました。「TrumpMembers」、「WelcomeToTrumpNationalGolfClub」―いずれもパスワードは入力不要です。

圏内なら誰でもこの野良回線からアクセスして、中で行われる暗号化の手薄なネットの通信内容を傍受できてしまいます。つまり暗号化鍵の印のないサイトで入力されるユーザーネーム、パスワード、メールなどなどです。

さらにアトランタ在住サイバーセキュリティ研究家のRobert Grahamさんによると、野良回線につながっている端末のマイクとカメラも起動できてしまうのだそう。「ホテルではよくあるセキュリティ仕様」としながらも、国家機密の会話がこんな筒抜け状態にあるのは「だいぶ問題だ」と語っていました。

取材の数日後にも大統領は週末をここで過ごしています。

首都のトランプホテル

さて、次に訪れたのは首都ワシントンD.C.にある「トランプ・インターナショナル・ホテル」です。ここは娘婿のジャレッド・クシュナー氏とよく夕食を共にするホテル。クシュナー氏は上級顧問として中東外交から行政改革まで幅広い任務を担当しています。

地階のスタバで調べてみたら、「キャプティブポータル」と呼ばれるWi-Fiネットワークがさっそく2件検出されました。よく空港やホテルでネットにつなぐとログイン画面に誘導されて、有料カスタマー認証を行う、あれです。

ところが試しに客室番号に「457」とぶち込んだだけで、どちらもあっさり開いてしまいました。ヤマカンでテキトーに客室番号を打ち込むと、あ、お客様だ…って認識してしまうのです! ここはホテルのパブリックなIPアドレスをチェックするだけにしてログオフしました。

ニューヨークの編集部に戻ってホテルのサーバーを調べてみたら、これまた野良回線からつないでアクセスできるもので、使用ソフトも発売から13年近く経っている太古の昔のものでした。


バージニアのゴルフクラブ

ラストはバージニア州スターリングの「トランプ・ナショナル・ゴルフクラブ」です。ここは大統領が時たまゴルフやりに寄る場所ですね。駐車場でもう暗号化のかかっていないWi-Fiネットワーク3件と、暗号化のかかった携帯電話1件、Wi-Fiアクセス可能なプリンターが2件検出されました。

サイトはオハイオ州のClubessential社がホスティングしており、管理業務から会員通信記録、ティーオフ時刻、客室予約まですべてここが管理しています。

2014年のプレゼン資料で同社の営業部長は、情報管理とパスワード保護が「ゆる過ぎる」のはゴルフクラブ業界全体の問題であり、「過去2年の間にクラブのサイトが攻撃対象になるケースが急増している」と語り、「ゴルフクラブ業界のセキュリティを調べてみたら、社員と会員の名簿と連絡先、役員会議の議事録といった何千件という機密文書がネットに流出していた」と問題提起していました。

しかしかく語るソフトウェア会社自らが立ち上げたバックエンドサーバーがそもそもネットからアクセスできてしかも暗号化の設定も不正という黒仕様なんですよ…。ログイン画面を開くと暗号化がおかしいという警告が出るんですけど、同社はドキュメンテーションでクラブのアドミンに対し、この警告は無視してログインしちゃっていいとアドバイスしてるんです。要は保護されていない環境で接続中でも、アドミンのパスワードを見て全システムにアクセスできてしまうんです。

トランプ大統領のマー・ア・ラゴのハックは魚釣るより簡単(試してみた)

「安全な接続ではありません」というエラーが出ても、 屬海侶拗陲鯑鹽戮班充┐靴覆ぁ廚縫船Д奪を入れて、△海海鬟リックしてサイトにログインしてください、という説明が… (c) Clubessential

同社はさらにパスワードの保護もかけないで、顧客管理用ソフトのデフォルトの設定とユーザーネームをごろごろネットに公開していました。これではまるでハッカーに道案内を出しているようなものです。

Clubessentialにも取材してみたんですが、ノーコメントでした。

この結果についてImmunity社CEOのAitelさんは、「一度ゆるゆるのセキュリティ環境になってしまうと、そこからセキュアなネットワークシステムを構築するのは大変なので、また一からやり直しになるだろうね」と言っていました。


*本稿はGizmodo Media Group特別取材班とProPublicaの共同取材でまとめました。担当したのは特別取材班上級デジタル記者のSurya Mattu(surya.mattu@gizmodomediagroup.com)、ProPublica上級記者のJulia Angwin(julia.angwin@propublica.org)、ProPublica記者のJeff Larson(jeff.larson@propublica.org)の計3名です。

top image: FloridaStock / Shutterstock.com
image: Gizmodo US
reference: Wired.jp, New York State Attorney General, White House (1, 2), CNN, NY Times (1, 2), NSA, Android Central, US Senate (1, 2), Security Week, NIST.gov, STIG Viewer, Network Computing,

Jeff Larson, Surya Mattu, and Julia Angwin - Gizmodo US and ProPublica[原文]
(satomi)