遅くなりましたが、皆様あけましておめでとうございます!
ブリンク人事部 石岡です。
2021年に突入しさっそく!勉強熱心で有名なブリンクのエンジニアNさんが、
今回は「SecurityDays 2020秋~ オンデマンド配信 ~」に参加されましたので、
そのレポートをご紹介します!
ーーーーーーーーーーーー
今回開催されたSecurityDays_2020秋ですが、やはり新型コロナウイルス感染拡大の影響に配慮し、オンデマンド配信も行われました。もう今後は、どのイベントもオンデマンド配信というのが主流になっていくのかもしれません。平日に休暇を取得するのが難しい人にとっては、いつでも視聴できるオンデマンド配信の方がありがたいですね。
さて、今回のSecurityDaysのレポートは、セキュリティに関する内部告発をメインに取り上げたいと思います。日本プルーフポイント株式会社の講演で、これまで過去に発生した大きな内部告発の事例をいくつか取り上げ、その脅威について説明していました。その中で、『スノーデン事件』 というものがありましたが、この内容が私にとってとても印象に残りました。講演後も気になり、もっと詳細を調べることにしました。
ということで、今回のレポートは講演内容というよりは、このスノーデン事件を自分なりに調べてみたことをレポート内容にしたいと思います。内部告発の歴史や実態を知るということは、これからのセキュリティ対策を行う上でとても重要だと考えております。
- スノーデン事件
エドワード・スノーデンという人を知っていますでしょうか。
私はIT業務に携わっていながら、このスノーデンという重要人物を知らなかったです。
スノーデン事件とは、2013年6月、スノーデンが自身の危険を顧みず、アメリカ政府が極秘に全世界のあらゆる通信データを大量に監視していた、という驚愕の事実を世界に暴露した事件です。
そしてさらに、その内部告発に踏み切る過程をリアルタイムでとらえたドキュメンタリー映画『シチズンフォー』も作成されています。私も観ましたが、非常に生々しくこれが現実かと思うと、これまで徹底的に教育され、叩き込まれた通信の秘密や個人情報保護とは一体何だったのかと不信感にさえ苛まれる思いでした。
エドワード・スノーデンとは?
では、スノーデンとはどういった人物なのでしょうか。スノーデンは、NSA(アメリカ国家安全保障局)の元契約職員、CIAで働いていたこともあるITセキュリティ情報技術者。CIAやFBIは耳にすることはありますが、NSAについて今回私は初めて知りました。NSAのことを知れば、スノーデンがどのようなことをしていたのかは、大体イメージが湧くかと思います。
NSAとはアメリカの国防総省の国防長官直属の諜報組織。いわゆるスパイ組織なのですが、具体的には通信傍受、盗聴、暗号解読など情報通信系の諜報が活動の対象。ただ長い間、存在自体が秘匿されてきたこともあり不明な点も多く、スノーデンが暴露するまでは、昔から謎の機関と言われてきたそうです。またNSAはデータを解析する優秀な頭脳を集めるため、アメリカ数学者の最大の就職先でもあるそうです。一方、CIAは人を使って対外諜報を行う機関で、FBIは事件を捜査する機関。どれも3つの英文字で似通っていて、紛らわしいですね…。
スノーデンはそのような組織で主に情報セキュリティに関わる面で働いていた人物になります。ちなみに事件以降、スノーデンはアメリカ政府からスパイ容疑で訴追されており、パスポートも無効にされ出入国ができなくなっています。
スノーデン事件
さて、いわゆるこの 『スノーデン事件』 は、スノーデンがNSAでの大量の内部文書を国外に持ち出し、報道関係者に対してNSAの情報監視活動を相次いで暴露した内部告発ですが、第一弾、第二弾、、、という風にこの連続スクープはしばらく続きました。
PRISM
特に私が衝撃的であったのは、「PRISM」(プリズム)というアメリカ極秘の通信監視、盗聴プログラムの存在。このプログラムは、我々がよく知る大手IT企業のサーバにあるデータを、NSAが直接アクセスできるようにしたというもの。具体的には、Eメール、チャット、動画、画像、保存データ、音声、送受信ファイル、ビデオ会議、ログイン状況、SNSなどの通信の内容や個人情報など多岐にわたる大量な情報に、アメリカ政府は直接アクセスすることが可能となっていた、ということです。
そして気になる我々がよく知る大手IT企業とは、Microsoft、Yahoo、Facebook、Google、PalTalk、YouTube、Skype、AOL、Appleの9つの民間企業です。どの企業のサービスも我々がよく日常的に目にしたり、利用していたりするものではないでしょうか。
下記の資料は、暴露されたPRISMに関与する諜報員の養成用、訓練用に作られた資料の一部で、トップシークレットに分類されるものです。
引用元:https://en.wikipedia.org/wiki/PRISM_(surveillance_program)
この資料で分かることは、このPRISMのプログラムに加入した企業名と加入時期、そして年間20億円ものコストであったことが確認できます。
最初は2007年のMicrosoftから始まって、次に2008年にYahoo、2009年にGoogle、Facebook、、、と続いていきます。ちょうどブッシュ政権からオバマ政権にかけての期間ですね。しかもあのセキュリティが強く、安全性の高いと思われていたAppleでさえも加入していたのは驚きです。2012年で時期が遅かったのは、かなり抵抗し続けたのでしょうか。2011年にスティーブ・ジョブズが亡くなっていますので、その後ということになりますね。
そしてNSAはこれらの企業のサーバに直接アクセスしていたわけですが、最も重要視すべきことは、大量かつ無差別に情報を収集していたことです。これが意味するところは、つまり怪しいテロや組織の容疑、犯罪容疑にかけられた一部の人だけが見張られているのではなく、インターネットや携帯を使っている全世界のすべての人の情報を根こそぎ収集していたことです。さらにファイブアイズ(アメリカ、イギリス、カナダ、オーストラリア、ニュージランド)の間でこの情報は共有されていました。
これらの企業は、表では 「お客様のプライバシーをお守りします、尊重します」 と言いながら、裏では政府に大量の個人情報を提供していたということになります。我々の大事な通信の内容や個人情報を政府の都合のいいように使われていたとするなら、、、どう思いますか?決して良い気分ではありませんよね。
では、どのように情報を世界から収集してくるのでしょうか。それは、民間の大手通信会社の海底ケーブルの上陸ポイントである陸揚げ局の一室を政府が借りて、そこにケーブルを引き込むことにより通信データを全部コピーして、NSAのサーバに取り込んでいた、というのが最も多い手法だそうです。つまり大手の民間企業と政府は協力関係にあったということが言えます。
これまでに挙げたNSAが行っている通信監視の方法や通信の秘密、個人情報に関わる通信傍受は、本来であれば裁判所の令状が必要になりますが、それをくぐり抜けています。つまり、違法行為になります。政府が行う違法は、違法ではない、ということになるのでしょうか。
Xkeyscore
そしてこのようにしてデータを収集するプログラムは、PRISMの他にも、いくつかのプログラムが使われており、この収集されたデータを実際に活用するために作られたシステムが、「Xkeyscore」(エックスキースコア) と呼ばれるものです。
Xkeyscoreは、こうして収集された大量の情報を検索する ”スパイのGoogle” とも呼ばれるツールで、個人の名前やメールアドレスなどのキーワードを使って検索すると、関連するメールや電話の会話、ネットの閲覧履歴など、検索者が望むあらゆるデータを見ることができます。映画でもXkeyscoreの操作画面が出てきていましたが、とてもシンプルな作りだったのが印象的でした。一人一人の大切な通信内容や個人情報をいとも簡単に抜き出せるように見え、セキュリティもプライバシーもまるで丸裸にされているかのようです。しかも、このXkeyscore…暴露された内部文書には、NSAが日本側にも提供していた、という記述もあり、正直ぞっとしました。
Collect it All
さて、ここで収集した通信データ等の情報は、ファイブアイズの国々に共有されていたと先述しましたが、特にイギリスとは積極的に行っていました。イギリスのGCHQという機関は、NSAと兄弟のように足並みを揃えて諜報活動し情報を共有していました。そしてその際の諜報活動の新方針を示した資料が以下です。
引用元:https://gendai.ismedia.jp/articles/-/49507?page=3
上から時計回りに、「すべてをかぎつけ、すべてを知り、すべてを収集し、すべてを処理し、すべてを利用し、すべてをパートナーにする」という意味です。これがファイブアイズに共有されたことからも、NSAの活動の方針がこの図によく表現されています。「Collect it All」 つまり、すべてを収集するということです。
三沢基地
ちなみに上図の左上のParther it ALLのところには、”Misawa” という記述があります。これは青森県にある米軍の三沢基地のことです。三沢基地で得た情報もGCHQと共有するという内容です。つまり日本が米軍に利用されている。同盟国というパートナーでありながら、同時に監視下にも置かれている、と解釈できるかと思います。
三沢基地には「エシュロン」という通信傍受システムがあります。1分間に300万の通信を傍受できる史上最強の盗聴機関といわれています。白い巨大なドーム型のかたちをしており、Googleマップでも三沢基地周辺にエシュロンがいくつも点在しているのが、はっきりと確認できます。
引用元:Googleマップ
なんだか不気味です…。実際に内部告発サイト「ウィキリークス」では、NSAが日本政府の内閣官房や日銀、経産省、財務省、商社など35ヵ所を盗聴していたとする文書を公表しています。少なくとも2007-2009年の第一次安倍政権時代から盗聴されていたようです。慎重な取り扱いが必要とされる気候変動問題、農産物などの貿易交渉に関するもの。例えば、安倍総理の訪米前に政府内部で意見調整した温室効果ガスの削減目標の数値などの内容です。日本政府トップの審議、検討内容のあらゆることを事前にアメリカ側は把握し、ファイブアイズに提供していた、ということになります。
暴露による様々な反応
アメリカ
当時のオバマ大統領は、「諜報機関を持つ国ならどの国でもやっていることだ」という開き直りを見せましたが、「一部、行き過ぎた面はあった」とも認め、情報収集活動の手法を一部見直すことになったそうです。さらにアメリカ政府は、NSAの令状抜きの監視の対象は外国人のみであり、アメリカ国民は安全だと主張しています。あたかもアメリカ国民以外に対しては、プライバシーの侵害も厭わず監視しますよ、と言っているようにも受け取れます。また監視プログラム「PRISM」についても、あっさりと存在を認めたものの正確ではないと主張し、これらのプログラムが極秘扱いなのはテロリストなど米国を攻撃しようとする相手に情報を与えないためだと説明しています。
彼らの言い分は決まってこうです。「国をテロリストから守るために不可欠なツールだった」。
しかし、どうでしょう…彼らの諜報活動の方針は、大量かつ無差別の 「Collect it All」 だということを忘れてはいけません。
ドイツ
NSAが10年以上にもわたってドイツのメルケル首相の携帯電話を盗聴していたことも、スノーデンの内部文書から発覚しました。首相就任前から標的になっていたということです。これを受け、メルケル首相は怒り心頭し、オバマ大統領へ直接電話をかけ「友好国に対するスパイ行為は絶対に受け入れられない。信頼を破る行為で、重大な結果を招くことになる」と猛烈に抗議をしました。これに対し、オバマ大統領は「盗聴行為は知らなかった。知っていれば、すぐにやめさせた」と謝罪したとのことです。
この発言に本当に疑いの余地はないのでしょうか。もし仮に一国の大統領の了承を得ずに、友好国首相の携帯電話を盗聴していたとするなら、NSA長官は直ちに引責辞職に追い込まれるレベルではないでしょうか。
日本
日本も例外ではありません。アメリカは諜報活動に日本を利用していたということが、内部文書からうかがえます。例えば、沖縄の米軍基地での諜報活動施設の拠点移動のために、日本の税金5億ドル(約520億円)が使われたと記述されていたのです。さらに、横田基地の最新鋭の通信施設やスタッフの人権費もほとんど日本が支払ってくれた、ということも記されていました。これが事実であれば、日本はアメリカの諜報活動に多大な支援をしていたことになります。
先述したアメリカからのXkeyscoreの提供やエシュロンによる盗聴、そして諜報活動への支援、これらに対し日本の防衛省は、 「…コメントは差し控えます」 とだんまり。実に日本らしい回答です。
ちなみに、スノーデンは2009年から2年間。日本の横田米軍基地に配属されて勤務していたこともあるります。その時の仕事は、外部から入ってくるハッキングといったスパイ活動を防ぐためのソフトを開発していました。しかも民間企業Dellの社員の1人として偽装して潜り込んでいたのです。つまり、ここでも政府と民間企業の協力関係が密接にあったことが分かります。
それからオリバー・ストーン監督の『スノーデン』という映画も作成されていますが、スノーデンが横田基地に居た時の回想シーンで、「日本のインフラを乗っ取り、密かにプログラム・マルウェアを送電網、ダム、病院に仕掛けており、日本が同盟国でなくなった日には…彼らは終わり」と語り、電力システムが停止させられ、日本中の街の明かりが全て消えるというシーンがあります。怖いですね…。
スノーデンはこういった監視が、テロに全く関係のない経済と社会を支配する目的に利用されていたことに苦悩する姿がこの映画には描かれていました。
最後に
スノーデンがNSAの技術主任として勤務していたころは、年収2千万円以上あったと言われています。しかも実態を暴いた当時は、弱冠29歳という若さ。まだまだ彼の人生はこれからという時期でしょう。…にも関わらず、このような行動に踏み切ったのは、それだけ耐え難い事実を目の当たりにしてしまったからではないでしょうか。あまりにも酷すぎる大量の無差別監視、プライバシーの侵害、都合のいいように使われている個人情報。そして政府に対する不信感から倫理観に駆られたのではないかと思います。
将来の自分の生活や身の危険を顧みず、またアメリカ政府に捕まったら死刑にもなりうるリスクを背負ってでも、世界中の人たちに真実を伝えようとしました。並大抵の覚悟ではできないですし、まさに命がけというはこのことでしょう。スノーデンはロシアに亡命したようですが、NSAから盗んだ内部文書は、いまだにアメリカ政府は全容を把握しきれておらず、それを担保にスノーデンは自身の安全の身を保っているのだそうです。つまり、もし捕まえようとしたら、まだ公開していない情報を公開する、ということなのでしょう。このような常に危険と隣り合わせの状況であっても、現在もスノーデンはインターネットのスクリーンを通じていろんなところで講演活動をし、彼は今でも我々に向けて社会的な発信を続けているのだそうです。こういったスノーデンの発信を我々がしっかり受け取めて、セキュリティに対する意識を深めていくことが大切だと感じます。
以上
ーーーーーーーーーーーー
今回はセキュリティに関するレポートでしたが、
無差別に監視されているって物凄く怖いですよね・・・
昨年もドコモ口座の不正利用があったりと、セキュリティに関してニュースはありましたが
自分の身にもいつ起こり得るかわからない時代だなと、改めて思いました・・・!
週末にでも、「シチズンフォー」を見て、
セキュリティに関して、少しでも学べたらと思います!
(調べたところ、AmazonPrimeでレンタルできるみたいです)
それでは皆さん、首都圏は緊急事態宣言が延長されるようですので
引き続き感染対策をしつつ、ストレスをため込まないように気を付けて過ごしていきましょう!
ちなみに私は最近、完全リモートワークで運動不足なので
お散歩をしたり、断捨離をしたりして休日は過ごしています!
ブリンクで加入しているベネフィットステーションにも、運動コンテンツがたくさんありますので
それも利用しながら、楽しんでいます♪
