システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)
企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。
連載:ハッカーの系譜⑤エドワード・スノーデン (5/6) 「世紀の告発者」への第一歩を踏み出す
March 10, 2016 11:30
by 牧野武文
スノーデンは、5月中旬に数週間の休暇を申請した。持病の治療のためという理由だった。そして、真新しいパソコンを4台購入し、だれにも告げずに香港に飛び立った。
2013年5月20日に香港入りし、ネイザンロードにある五つ星の高級ホテル「ザ・ミラ」にチェックインした。本名でチェックインし、自分のクレジットカードも提示した。変名を使うような小細工をしても、NSAが本気になって捜索を始めたら、どのみち身元はすぐにばれてしまうからだ。1014号室に入り、そこでポイトラスとグリーウォルドがやってくるのを待つことにした。続いてポイトラスとグリーンウォルドも香港入りし、スノーデンが宿泊しているザ・ミラから徒歩で15分ほど離れているダブリューホテルに宿泊した。
スノーデンは香港に到着したポイトラスに、OTRでメッセージを送り、自分が宿泊しているザ・ミラにくるように指示した。ホテルの3階にいき、最初に会った従業員に「営業中のレストランはありますか?」と尋ね、その後、ワニのオブジェのそばのベンチに座る。スノーデンはその様子をこっそりと観察し、確かにポイトラスとグリーンウォルドであること、尾行がいないことを確認して落ち合う。
約束の時間は、10時と10時20分の2段階で設定されていた。10時にベンチに座り、2分待つ。もし、スノーデンが現れない場合は、なんらかの問題が生じたのだから、すみやかにその場所を離れる。次の約束の時間の10時20分に、ベンチに戻ってくる。スノーデンの目印は、ルービックキューブを手にしているということだった。ポイトラスはルービックキューブを手にした男を見つけたら、「このホテルの食事はどう?」と聞くことになっていた。そして、スノーデンが「最悪だね」と答える。ここまでが、スノーデンが考えた落ち合うまでのプロトコルだった。
普通の人でも、恐るべき敵に勝利できる
グリーンウォルドは、初めてスノーデンと会って、衝撃を受けたという。NSAの機密文書を内部告発するというのだから、NSAの上級職員で、50歳前後の男性だという思いこみがあったからだ。目の前に現れたスノーデンは29歳の若い青年で、しかもまったく外にでていないと思われるほど色白で線が細かった。一言で言えば、オタク青年に見えたのだ。
しかも、グリーンウォルドは、スノーデンが内部告発をした後、長い刑務所暮らしを覚悟していることもうすうす感づいていた。50歳を超えた中年男性が「正しいこと」をして、余生を刑務所ですごすなら、まだわかる。目の前の青年にはまだたっぷりと人生が残されている。そこも予想外だった。
スノーデンは、自分の部屋である1014号室に二人を招き入れた。そして、携帯電話を持っているかどうかを尋ねた。二人がもっていると答えると、バッテリーを抜くようにと言った。そして、ミニバーの冷蔵庫の中に入れるように指示をした。
それから、ドアの隙間に枕を押しこみ始めた。そして、ようやく説明を始めた。政府の諜報機関は、携帯電話のマイクを遠隔で起動して盗聴機代わりにする技術をもっているのだという。電源をオフにしても、マイクと通信ユニットだけを遠隔で起動することができる。だから、バッテリーを抜いてしまうか、電波を遮断する冷蔵庫の中に入れないかぎり、安心できないのだという。
ドアのそばには、小さなコップと醤油のシミのついたティッシュペーパーが置かれていた。これも、部屋を空けているときに侵入者がきていないかどうかをチェックする方法なのだという。ティッシュペーパーに醤油で模様を描き、乾燥させる。これをドアのそばに敷き、その上に水の入ったコップを乗せる。コップはドアに接するようにしておく。万が一、侵入者がドアを開けようとすると、コップから水があふれ、ティッシュペーパーが濡れ、醤油の模様をにじませることになる。
スノーデンはパソコンを起動した。起動時にさまざまなパスワードを入力する必要がある。スノーデンは、パスワードを入力する前に、頭からパソコンごと毛布を被り、パスワードを入力する。どこに監視カメラがあるかわからない。カメラ経由でパスワードを盗まれる可能性があるからだという。
グリーンウォルドは、正直、この香港出張は失敗だったのではないかと不安に思い始めた。目の前にいる青年は、NSAの機密資料を内部告発するようなヒーローではなく、スパイ小説を読みすぎたオタクにすぎないのではないか。あるいは少し頭のネジがおかしくなった偏執狂なのではないか。
スノーデンは、二人に「お願い」をした。ひとつは内部文書を公表することで、無実の人が被害を受けない形にしてほしいということだった。スノーデンの目的は、NSAを内部告発することで、NSAという組織が存続すべきかどうかを市民に議論してほしいということだった。内部文書を公表することで、善良な人に被害が及ぶのであれば、市民は議論すべきことよりも、そちらの方に注目をしてしまうだろう。それはスノーデンの本意ではない。
もうひとつは、ただ公表するのではなく、プロのジャーナリストの解説をつけてほしいということだった。内部文書をただ公表しても、専門性が強すぎてほとんどの市民には理解できない。ジャーナリストが背景や専門的な内容を解説することで、市民に正確に理解してほしいのだという。「ただ公表したいだけなら、あなた方に協力をお願いする必要はありません。ネットで公表してしまえばいいだけですから」。
スノーデンは、こうも語ったという。「ゲームの主人公は、得てして普通の人間ですが、巨悪に立ち向かうことになります。正義のために立ち上がった一見普通の人間が、恐るべき敵にさえ勝利できる」。スノーデンは、ゲームによって自分の人格形成をした、新しい形の正義感をもった若者であることをグリーンウォルドは理解した。
進んで身分を明らかにするスノーデン
内部告発者のスノーデン、フリージャーナリストのグリーンウォルド、ドキュメンタリー映像作家のポイトラスの3人は、すぐに目的を共有するチームとなった。内部告発のハイライトは、プリズムとIT企業の関係の暴露にあったが、いきなりこれを報道すると、不発になる可能性もあった。なぜなら、どのIT企業も「プリズムなんて知らない。弊社は関与していない」と答えるだろう。政府は、スノーデンの過去の微細な犯罪や奇行を掘りだしてきて、「妄想にとりつかれているオタクのたわごと」というイメージをつくりだそうとするだろう。NSAは「プリズムなんて存在しない。もちだされたと称する書類は、頭の触れたオタクが捏造したもの」と答えるだろう。読者が、この衝撃的な内部告発についてこれるかどうかも疑問だった。なぜなら、米国の主だったIT企業が、NSAのスパイ活動の手助けをしているという話なのだから、信じられないという感想をもつ人も多いだろう。
3人は、公表の手順を話し合って決めていった。まず、いきなりプリズムの内部告発報道はせずに、それよりはインパクトは小さいが、世論を喚起するのに充分な内部告発を行う。次に、衝撃的なプリズムの内部告発をする。そして、スノーデンの身元を明かし、内部告発がいい加減なものではないことを示す。そうすることで、世論は真剣にこの内部告発を受け止めてくれ、大きな議論となるだろう。それがスノーデンの狙いだった。
議論をして、民主的な方法で、政府の諜報機関の行動を決めてほしい。スノーデンは、それこそが「正しいこと」だと思っていた。グリーンウォルドは、さっそく記事の執筆に入り、ポイトラスはカメラを回し、スノーデンはカメラに向かって自分のねらいを語り始めた。
ベライゾンの通話記録はNSAに渡っていた
グリーンウォルドは、第1弾の記事として、米国最大の携帯電話キャリア、ベライゾンの問題を記事にした。外国情報活動監視裁判所(FISC)が、ベライゾンに対して、すべての通話記録をNSAに提出するように命じた件だ。誰と誰が電話をどれだけの時間通話したのか、どこで電話したのか、どのようなショートメッセージを送ったのか、すべてがNSAの手に渡った。日本で例えれば、NTTドコモが全通話記録を内閣調査室に手渡したような話で、プライバシーの問題から大きな議論になることは間違いない。そして、誰もが思うのが、「じゃあ、ベライゾン以外のキャリアは通話記録を渡していないのか?」ということだ。
6月6日、グリーンウォルドの記事が、『ガーディアン』のウェブ版で公開された。「NSAがベライゾン加入者数千万人の通信履歴を収集」という見出しで、裁判所の命令書画像も掲載された。
公開されて数時間はなにごともなく平穏な時間が過ぎた。しかし、米国時間の午後になると、グリーンウォルドのパソコンがひっきりなしに鳴り始めた。世界中のマスコミから取材依頼のメールが送られてきたのだ。夜のニュースでは、どのチャンネルもこのベライゾンに関するNSAの内部告発がトップニュースになっていた。すぐにホワイトハウスの広報担当者もコメントを出した。「通話履歴の収集は、米国をテロリストの脅威から守るために不可欠なことだった」。
翌日、ワシントンとべったり寄り添っている米国新聞も、こぞって社説でオバマ政権を非難し始めた。さらに『AP通信』は、独自取材で「通話履歴の収集は、過去何年にもわたって行われていることであり、ベライゾンだけでなく、大手通信会社のすべてが対象になっている」という報道をした。
監視されるガーディアン紙記者たちの自宅
グリーンウォルドがホテルの自室で、各マスコミのインタビューや中継をこなし終わって、一人になってから、そっとスノーデンのホテルにいってみると、スノーデンはテレビでCNNの報道を見ている最中だった。スノーデンは明らかに興奮していた。「どの報道番組も、このニュースばかりです!」。そして、こう続けた。「でも、これが単なる氷山の一角だとはだれも気がついていないでしょう。まだまだ続きがあるのにね。次はいつ発表するんです?」。グリーンウォルドは答えた。「プリズムを。明日」。
そして、プリズムの記事がガーディアンウェブ版で公開された(ワシントン・ポスト紙もこの情報を掴み、政府関係者と協議をした上で記事を掲載した)。「NSAのプリズムプログラム:アップル、グーグルなどのユーザーデータに侵入」「NSAは極秘プリズムプログラムによって、グーグル、アップル、フェイスブックなどの企業のサーバーに直接アクセス」という見出しだった。
この記事の反響は、ベライゾンの記事とは比べ物にならないほど大きかった。なぜなら、ベライゾンの記事は「米国市民」のプライバシーが侵害されているという話だが、プリズムの記事は、マイクロソフトやグーグル、フェイスブック、アップルといったサービスを利用する「世界中の人々」のプライバシーがNSAに侵害されているという話だったからだ。グリーンウォルドのメールアドレスには、世界中のメディアからの取材依頼のメールが殺到し、ついにグリーンウォルドはすべてに目を通すことができなくなってしまった。
ガーディアン紙の編集者の自宅では不思議なことが起こり始めていた。突然、自宅前の歩道で道路工事が始まったのだ。地元の役所に問い合わせをしても、首をひねるばかりで「そんな工事の予定は聞いていない」という。工事は歩道を掘り返して、地下ケーブルを交換しているようだった。しかも、作業員はきびきびと働き、1時間程度で工事を終了する。それが一人ではなく、ガーディアン紙の主要な編集者、記者の自宅前で行われる。
ハワイのスノーデンの自宅には、誰かが侵入しようとしたらしく、防犯装置が作動した。防犯装置が作動すると、アラートがスノーデンのパソコンに送られるようにしてあった。
NSAがスノーデンにたどりついていることはもはや間違いがなかった。プリズムの次の記事は、内部告発者スノーデンを報じる記事にし、ポイトラスが撮影したスノーデンのインタビュー映像を記事に添付することになった。
グリーンウォルドは、記事を執筆している最中に半年前のあるできごとをふと思いだした。キンキナトゥスという名前の情報提供者のことだ。彼はグリーンウォルドにPGPをインストールするように迫ったが、グリーンウォルドは放置してしまった。今から思うと、彼もスノーデンと関わりのある人物で、なにか確かな情報をもっているのではないかと思えてきたのだ。グリーンウォルドはメールソフトの中から半年前のメールを探しだして、キンキナトゥスに返事を書いた。「やっとPGPが使える環境になりました。もしまだ興味があるようでしたら、いつでもお話を聞きます」。
それから再び打ち合わせのためにスノーデンの部屋を訪れた。スノーデンは上機嫌な笑顔でいた。香港で会って以来、初めてグリーンウォルドに見せた笑顔かもしれなかった。スノーデンは楽しげにいった。「ところで、さっきあなたがメールを送ったキンキナトゥスというのは、僕ですよ!」。
(敬称略/全6回)
牧野武文
テクノロジーと生活の関係を考えるITジャーナリスト。IT関連本を中心に、「玩具」「ゲーム」「論語」「文学」など、幅広くさまざまなジャンルの本を執筆。
