英国のナディーン・ドリーズ下院議員は昨日、自身の議会ログイン情報をスタッフと共有していることを明らかにした。これは、同僚議員のダミアン・グリーン氏のオフィスコンピューターからポルノ画像が見つかったとされる、最近再浮上した疑惑を弁護するための試みだった。
ドリーズ氏は土曜日のツイートで、グリーン氏だけがコンピューターにアクセスできたという主張に異議を唱え、スタッフが自分の電子メールアカウントにアクセスできるようにパスワードを彼らに渡していると述べた。
Twitterではよくあることですが、すぐに恐怖の返信が寄せられ、ログイン情報を4~6人のスタッフと共有するのは良くないと指摘しました。さらに彼女は、自分自身もパスワードを思い出すのに苦労したと述べ、さらなる不安を招きました。
ドリーズ氏はある時点で、スタッフが自身のアカウントへの代理人レベルのアクセス権を持っているともツイートしており、ユーザーからはそもそもなぜ彼女が自分の詳細を明かす必要があるのかという疑問が生じた。
この話の発端は、2008年に警察がグリーン氏の事務所を捜索したことに遡る。当初は、当時影の移民大臣だったグリーン氏に政府文書が漏洩した可能性を捜査するためだった。
この件は、BBCが先週、元刑事のニール・ルイス氏にインタビューした後、再び浮上した。ルイス氏は、グリーン氏の個人アカウントとオフィスのコンピューター上の文書が資料へのアクセスに使用されたことから、グリーン氏が成人向け画像にアクセスしたと確信していると主張した。グリーン氏は容疑を否認している。
情報セキュリティの専門家らはドリーズ氏のアプローチを即座に批判したが、ウェストミンスターのコンピューターに対する標的型攻撃からわずか数か月しか経っていないことを考えると、その批判はさらに疑問を抱かせるものとなった。
「@NadineDorriesは、自分は重要ではない、標的にはならないと考えている。それ自体はナイーブだが、他人の個人情報や機密通信を考慮すると、無謀だ」と、ウイルス対策業界のベテラン、グラハム・クルーリー氏は述べた。
情報セキュリティのベテラン、クエンティン・テイラー氏は次のように付け加えた。「議会がOffice 365を使用していることを考えると、@NadineDorries氏が認証情報を共有する言い訳はできません。委任ルールが存在するのは理由があり、パスワードを共有するよりも簡単でしょう。」
経験豊富なCSOであり、セキュリティブログやカンファレンス講演も手掛けるトム・ラングフォード氏は、「ログイン情報を共有するという慣行は狂気の沙汰であり、直ちに見直されるべきです。議会データの完全性だけでなく、送信されたデータやメッセージの否認不能性も危機に瀕しています」と述べています。
さらに重要なのは、ドリーズ議員が述べた行為は、議員はパスワードを共有すべきではないと明確に勧告している下院職員ハンドブックの指針に反していることだ。
この批判は、週末にドリーズ議員によって「コンピューターオタクによる荒らし」として一蹴された。保守党議員のニック・ボレス氏も、スタッフにパスワードのリマインダーを頼まなければならなかったことを認めた。
「私は有名人、ここから出してくれ」というジャングルの元囚人であるドリーズは、その後、国会議員全員の職場の PC にその物質が詰め込まれていると示唆して、主張を倍増させた。
かなり大胆な主張だが、情報セキュリティの専門家たちは少なくとも、MPSにおけるITセキュリティの不備は政党政治の問題ではないという主張を裏付ける用意がある。「これは政党間の問題であり、おそらく議会全体で起こっていると思います」とラングフォード氏は述べた。
情報セキュリティに精通した人々にとって苛立たしいのは、パスワード管理の煩わしさ(これは問題だ)を軽減するシンプルな技術が数多く存在することだ。パスワードマネージャーや二要素認証など、他にも多くの技術がある。「MPアカウントやコンピュータに近接型カードを使ったログイン機能を導入してほしい。一度立ち去れば、もうログインできない。カードをIDカードの一部にすれば、『貸し借り』される可能性が低くなる」とトレンドマイクロのリック・ファーガソン氏は述べた。
ICOはソーシャルメディアプラットフォームについて次のようにコメントしました。「議員がログイン情報やパスワードを共有しているという報告を認識しており、関係する議会当局に問い合わせを行っています。議員をはじめとする関係者に対し、データ保護法に基づく個人データの安全確保の義務を改めて周知徹底していただきたいと思います。」®
