ベゾス氏ハッキング被害の教訓 誰もが標的になる時代に

AP Photo / Patrick Semansky

 ハッキングの標的について、誰しも自分がジェフ・ベゾス氏と同じレベルで選ばれるとは思わないだろう。だが、アメリカ政府の高官のみならず、自分自身やまわりにいる誰もがハッキングの対象となってしまう可能性がある。どのような人物であれ、アマゾンの創始者でありワシントン・ポストのオーナーであるジェフ・ベゾス氏が経験したような攻撃には、ほとんどなすべがないと言える。

 2人の国連の専門官が先週、ベゾス氏のスマートフォンのハッキング疑惑にサウジアラビアのムハンマド・ビン・サルマーン皇太子が関わっている可能性があると主張し、アメリカに対し調査を求めた。「中程度から高程度の信頼性」があるといわれているデジタル鑑識報告書によると、ベゾス氏が2018年5月に皇太子から受け取ったMP4動画ファイルを通して、同氏のiPhone Xがハッキングの危機にさらされたという。

 また、ナショナル・エンクワイアラー紙は、ベゾス氏がハッキングについての私的調査を打ち切らなかった場合、プライベートな写真を公開すると同氏を脅迫した。この後、ベゾス氏は同紙からハッキングの被害を受けていたことを公表した。これら2つの事件の間に関連性があるのかどうかは不明である。サウジアラビアは、一連のハッキング疑惑への関与を完全に否定している。

 これらの事件は、アメリカとサウジアラビアの外交関係に影響を与える可能性がある。1月24日、ロン・ワイデン上院議員(民主党、オレゴン州)はアメリカ国家安全保障局に対し、個人のデバイスでサルマーン皇太子にメッセージを送った可能性のあるホワイトハウス関係者のセキュリティを調査するよう依頼したことを明らかにした。ホワイトハウスの補佐官であり、ドナルド・トランプ大統領の義理の息子であるジャレッド・クシュナー氏は、メッセージアプリの「ワッツアップ」を使って同じような情報の不正入手を行っていたことが知られている。

 ワイデン上院議員は、ベゾス氏のハッキング事件に関する報告書を「きわめて不吉」であると評し、「国家の安全保障に衝撃的な影響」をもたらすかもしれないと述べている。

 しかし、この影響は個人レベルにまで波及する可能性をはらんでいる。ハッキングのコストが下がり、オンラインに依存した人々の生活を調査する機会が増すにつれ、たとえ世界屈指の富裕層でなくても、より多くの個人が標的になる可能性があるのだ。

 突き詰めれば、行き着く教訓はとても単純である。「誰と言葉を交わすのか、そして、話をするときに何を使うのかに注意を払おう」ということになる。

「自分のことをハッキングする人なんか誰もいないだろうという思い込みを捨てる必要がある。隙あらばチャンスを狙っている攻撃者に翻弄されて、特定の標的や格好の獲物になる必要はない」とルタ・セキュリティーの創設者兼CEO、ケイティー・モウソーリス氏は語る。

 フェイスブックが所有するアプリであるワッツアップは、送信者と受信者だけが解読できるようにメッセージと通話を暗号化するしくみを持つ。そのため、プライベートなメッセージをオンラインでやりとりする安全な方法である、と一般的には考えられている。だが実際にはワッツアップもたいていのメッセージングサービスと同様にマルウェアの侵入経路となる可能性があり、多くの人々はそれに気づいていない。

 もし、信頼できる連絡相手がメッセージ交換の接続を利用してスマートフォンのオペレーティングシステムに侵入する方法を知っている場合、この暗号化は役に立たない。実際、マルウェアに感染した添付ファイルは、暗号化されている場合セキュリティソフトウエアを使っても検出することができない。また、ワッツアップのようなアプリは一旦添付ファイルが復号されたら、マルウェアを検出するためのスキャンを実施しない。

 ワッツアップのユーザーは、写真、ビデオ、およびほかのメディアの自動ダウンロードを無効にできる。しかし、自動ダウンロード機能はデフォルト設定で有効になっており、ユーザーが明示的な無効化の設定を手動で行う必要がある。

 ほかのメッセージング機能を持つアプリも同様に攻撃を受けやすい。「今回の件は、たまたまワッツアップの脆弱性を突いた攻撃だったに過ぎない。類似のアプリのいずれかでも同様のハッキングに遭う可能性があった」とテキサス州に拠点を置くセキュリティ会社、ジンペリウムのJT・キーティング氏は語る。

 サルマーン皇太子は2018年の春にアメリカを旅行したとき、ベゾス氏と互いの連絡先を交換した。この訪米中に皇太子は、スポーツ界や芸能界の著名人、学界の指導者たちに加え、グーグル、アップル、およびパランティア・テクノロジーズのCEOやそのほかのハイテク企業の幹部らとも面会した。ヴァージングループの創始者であるリチャード・ブランソン氏は、サウジアラビア使節団を招いてロサンゼルス北部の砂漠の中にあるモハーベ航空宇宙空港への見学ツアーを実施した。

 我々はグーグルとアップルに対し、会社幹部が個人の連絡先をサルマーン皇太子と交換したのかどうかについてのコメントを求めるメールを送信したが、両社とも返信がなかった。パランティア・テクノロジーズは、CEOのアレックス・カープ氏が皇太子に面会したことを認めたが、私的なメッセージの交換を行ったことはないと回答した。ヴァージングループは、目下、調査中であると述べている。

 カリフォルニア大学バークレー校のサイバーセキュリティ研究者であるビル・マークザック氏は、サウジアラビアのサルマーン皇太子が送信したMP4動画ファイルにマルウェアが仕込んであったという決定的な証拠はまだ得られていないと警告し、この件について結論を導くのは時期尚早だとしている。ほかの多くのセキュリティ専門家たちも、国連関係者が結論を導き出した根拠としているデジタル鑑識報告書に疑問を呈している。

 だが、マークザック氏は、「疑わしいリンクや、信じられないほど都合の良いメッセージには常に目を光らせておくこと」が妥当なアドバイスであると語る。

 とくに、反体制活動家、ジャーナリスト、および裕福な会社幹部のように人目を引くターゲットとなり得る場合は、疑わしいリンクをクリックしないよう留意していてもそれだけではスパイウエアを完全に防ぎ切れないかもしれない。金銭で雇われたハッカーは昨年、ワッツアップのバグを悪用して何十台ものスマートフォンを遠隔操作で乗っ取った。ユーザーが何もクリックせず気づかない間に、カメラやマイクの制御を手に入れたという。

 こうしたケースでは、「標的として狙われた人物が何の操作を行わなくてもハッキングされてしまう」とマークザック氏は述べている。

By MATT O’BRIEN AP Technology Reporter
Translated by ka28310 via Conyac

Text by AP