2016年3月28日、フィリピンの「選挙管理委員会(COMELEC)」のデータベースが全て流出するという大規模な情報漏えい事例が報道されました。これによりフィリピンの登録有権者は不正行為の被害に遭う危険にさらされています。当初、この漏えい事例についての報道では、その影響について軽視されていました。しかし今回トレンドマイクロは、パスポート情報や指紋まで含む膨大な量の個人情報が漏えいした情報に含まれていたことを確認しました。
2016年3月27日、あるハッカー集団がCOMELECのWebサイトを改変。その後、第二のハッカー集団が COMELEC のデータベースを全てインターネット上に公開し、そしてその日のうちに、データベースをダウンロードできる3つのミラーサイトへのリンクを追加しました。今度の大統領選にあたり、投票のために 5,500万ものフィリピン人が登録をしていることを考慮すれば、この事例は、昨年2015年2,000万人の指紋情報および社会保障番号などの個人情報が漏えいした、米国の「人事管理局(the Office of Personnel Management 、OPM)」の事例を超える、史上最悪の政府関連情報漏えい事例となる可能性があります。
■ 選挙にまつわる不安
フィリピン国政選挙を5月9日に控え、この事例は、COMELEC および選挙に使用される自動投票システムにさらなる圧力をかける原因となっています。最初のハッカー集団は COMELEC に対し、投票集計機のセキュリティ機能導入を求めて厳しい警告をしました。そしてその後、第二のハッカー集団の行動によって、COMELEC のネットワークと情報セキュリティの脆弱さが露呈することになりました。
COMELEC の報道官 James Jimenez は、声明の中で COMELEC の Webサイトのセキュリティ対策が万全でないことを認めています。しかし彼は、自動投票システムは他の安全なネットワーク上で運営されると説明し、先のハッキング事例はシステムに影響しないと主張しました。彼は自動投票システムのセキュリティ機能に自信を持っており、選挙の行われる期間何も問題は起きないだろう、と選挙に関わる国民に保証しました。
しかし、彼の声明と弊社の確認した内容には食い違いがあります。COMELEC の職員は、漏えいしたデータベースには個人情報は保存されていなかったと主張しました。しかし、弊社の調査によれば、指紋情報を含む大量の個人情報が漏えいしたことが明らかです。COMELEC が一般情報とみなしている情報の中には、管理者権限を持つ COMELEC 職員の一覧も含まれていました。
■ 「VOTESOBTAINED(得票数)」
弊社の調査によれば、漏えいした情報には、海外在住のフィリピン人有権者130万人の旅券番号や有効期限などの記録が含まれています。なんとこれらの個人情報はただの平文であり、誰でも閲覧可能です。興味深いことに、弊社はまた、1,580万人に上る指紋情報と、2010年の選挙以降の候補者名簿も確認しました。
漏洩した情報の中には、出馬した候補者全員のファイルとともに、「得票数」という名称のファイルが含まれていました。ファイル名から察するに、候補者の得票数が反映されているファイルでしょう。現在これらの「得票数」ファイルは、数として「NULL(データなし)」が設定されています。
COMELEC の Webサイトではまた、実際の選挙の間、開票数が即時表示されます。COMELEC ではこの機能が他の Webサイトを使用して実行されると述べていますが、有権者は、選挙の間 Webサイトで提供されるのは実際のデータか、また、データの改ざんによって得票数に影響が出ないだろうか、と推測することになるでしょう。
■ 登録した国民全員に及ぶ危険性
ハッキングが選挙に影響するかどうかとは関係なく、漏えいした有権者情報についての問題は残ったままです。報告によれば、漏えいした情報のいくらかは暗号化されていましたが、全く開けっ放しの情報も確認されています。
サイバー犯罪者は、情報漏えいによって収集した情報を利用し、恐喝行為を行なうための多種多様な活動を選択することができます。過去の情報漏えい事例では、収集された情報が銀行口座にアクセスするために利用されたり、特定の人物に対する詳細調査のために利用されたり、あるいはフィッシングメールやBusiness E-mail Compromise(BEC)の脅迫メール、恐喝などに利用されたりしています。
■ 情報の分類と漏えい対策
情報漏えい事例は毎日のようにニュースになっており、大企業か中小企業であるかにかかわらずあらゆる業界のビジネスに影響を及ぼしています。 弊社のリサーチペーパー「Follow the Data: Dissecting Data Breaches and Debunking Myths (英語情報)」によれば、政府機関は情報漏えいによって最も影響を受ける上位第三位で、小売業と金融業がその後に続きます。
今回のセキュリティ事例から、情報漏えいが有権者に与える影響の可能性を考慮すると、セキュリティ理念を強化し、情報を分類しておく必要があることが明らかです。また、法的要件に対してだけでなく、組織の保有するさまざまな重要資産あるいは機密情報を安全に保つ責任を担う、情報保護職員の導入も重要視すべきです。
「情報保護職員の雇用は必須であるが、文化の違いなどの理由によって、実現に向けての困難が予想される。例えばドイツでは情報保護職員の雇用が法律で制定されているが、他の国ではそうでない。他国の企業は、そんなものは必要ないとさえ考えるかもしれない」と、弊社の最高技術責任者(CTO)である Raimund Genes は述べています。
企業組織は情報漏えい事例の度に打撃を受けますが、実際に危険なのは窃取された情報の持ち主です。重要情報を扱う際には、セキュリティの心構えの教育が必須です。COMELEC の事例を鑑み、企業組織は対策として情報の分類を実行しましょう。情報の分類とは、情報の機密性に応じて分別し各カテゴリーに応じて情報を保護することです。
- 極秘・・・有権者の個人情報は、非公開であり、限定された人のみが知ることのできる情報で、極秘情報に含まれます。漏えいした場合、一人以上の個人に損害を与えます。
- 秘・・・この情報は内部で周知してよい情報です。COMELEC の漏えいの事例では、秘情報の漏えいはなかったようです。この情報の例には、社内のメールや書類が入ります。
- 一般・・・この情報は通常、公知の情報で、開示範囲のないものです。漏えいの事例では、一般情報として、候補者の名簿と情報がありました。この情報の紛失は損害とはみなされません。
- 情報を分別した後、次のステップは情報を保護することです。保管方法、開示範囲など、保護方法は情報の種類により異なります。機密情報は別の場所か、ネットワーク以外の場所に保存する必要があり、閲覧するには高度なセキュリティプロセスが必要です。
以下は、情報漏えいを防ぎ、また情報漏えいから身を守るその他の方法です。
- システムとネットワークの更新・・・定期的に更新プログラムを適用し、システムを最新の状態にしておくことによって、サイバー犯罪者が脆弱性を利用しネットワークへ侵入することを予防します。
- 教育強化・・・脅威に対して対応できるように、ソーシャルエンジニアリングの手法を知り、特殊な状況への対応ガイドラインを履行できるよう、従業員のリテラシ向上を図る必要があります。
- セキュリティ対策の導入・・・ネットワークの脅威を識別して対応できる手順を作成します。ネットワーク上の全システムの安全確認のために、定期的にセキュリティ監査を実施します。
- 非常事態対策・・・情報漏えい発生の際には、適切な対応が必要です。これは、誰に報告するか、被害を緩和するための手順、事例を関係者へ告知する方法などをあらかじめ理解し、混乱を最小限にするためです。
■ トレンドマイクロの対策
トレンドマイクロでは、ユーザ、ネットワーク、サーバの三つのレイヤーにおいて最適化された包括的なソリューションを提供します。
トレンドマイクロの提供するエンドポイントセキュリティ製品「ウイルスバスター コーポレートエディション」、「ウイルスバスター ビジネスセキュリティサービス」は、不正プログラムの検出や、不正サイトへのアクセスをブロックすることによって、この脅威から企業を保護します。
トレンドマイクロの提供するネットワークセキュリティ製品「Deep Discovery™ Inspector」は、気付くことが難しい標的型攻撃やゼロデイ攻撃を早期に発見対処します。また、「Trend Micro TippingPoint」は、既知・未知の脅威やゼロデイ脆弱性から企業を守ります。
トレンドマイクロの提供する総合サーバセキュリティ製品「Trend Micro Deep Security™」は、様々なサーバ環境に合わせたセキュリティ対策を実現します。また、「Trend Micro Deep Security™ as a Service」は、サーバ向け総合セキュリティをクラウド型サービスで提供します。
参考記事:
- 「Data Protection Mishap Leaves 55M Philippine Voters at Risk」
by Trend Micro
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)