昨年夏、ジュネーブとウィーンにある国連欧州本部がハッキング被害に遭い、数千人分の職員の記録が不正アクセスの標的となりました。驚くべきことに、国連は被害を受けた関係者や一般市民に一切知らせることなく、この事実を隠蔽しようとしました。
これは、数年前まで人道危機を扱う国連の公式出版物だった「ニュー・ヒューマニタリアン」誌による驚くべき主張だ。同誌は本日、国連がハッキング事件と、詳細を一切公表しないという決定の両方を確認したと発表した。
9月20日付の機密報告書によると、2019年7月中旬に始まった攻撃で数十台の国連サーバーが影響を受けたが、その1か月後にようやく気付かれたという。同誌は、外部のフォレンジック会社によって発見された一連のセキュリティホールと、ハッキングを阻止するための内部の取り組みを概説した同報告書を入手した。
「ドメイン全体が侵害されたという想定で作業を進めています」と、8月30日に社内システム管理者に送られたアラートには記されている。「攻撃者は今のところ活動の兆候を見せていませんが、攻撃者は既に拠点を確保し、休眠状態にあると推測しています。」
上級IT担当者は、この攻撃を「大規模なメルトダウン」と表現しました。この攻撃では、数千人規模の個人や組織の人事記録に加え、契約データもアクセスされました。ハッカーたちはユーザー管理システムに侵入し、ファイアウォールも突破しました。最終的に40台以上のサーバーに侵入し、その大部分はジュネーブの欧州本社に設置されていました。
しかし、ハッキングの規模と範囲にもかかわらず、国連はこれを秘密にすることを決定した。情報提供を受けたのは、ITチームと問題の局の責任者のみだった。
「この攻撃により、中核インフラ構成要素が侵害されました」と国連報道官はニュー・ヒューマニタリアン誌に語った。「事件の正確な性質と範囲を特定できなかったため、国連は侵害を公表しないことを決定しました。」
パスワードを少し変更するだけで、心配する必要はありません
ハッカーの手に渡る可能性のあるデータを持つ従業員には、パスワードを変更する必要があるとのみ伝えられ、個人情報が漏洩したことは知らされていなかった。内部報告書をリークした匿名のIT担当者は、詳細を一切公表しないというこの決定は「隠蔽文化」に起因するものだと同誌に語った。
報告書では、被害の規模を算定することはできなかったとしているが、ある技術者(報告書を漏らした人物と同一人物かどうかは不明)は、国連のサーバーから400GBのデータが盗まれたと推定している。
最も懸念されるのは、国連人権高等弁務官事務所(OHCHR)が侵害を受けた機関の一つであるという事実です。OHCHRは、人権侵害を暴くために自らの命を危険にさらした人々から提供される、極めて機密性の高い情報を扱っています。
さらに事態を悪化させていたのは、IT専門家が長年にわたり国連に対し、ハッキングの危険性があると警告していたことです。2012年の監査では「許容できないレベルのリスク」が指摘され、サーバー、ウェブサイト、そしてメールなどの一般的なサービスを統合し、17億ドルの費用をかけて民間プロバイダーにアウトソーシングする組織再編が行われました。
しかし、セキュリティの不備に関する内部からの警告は続き、2018年の公式監査では多くの問題点が指摘された。「パフォーマンス管理の枠組みが実施されていなかった」と報告書は述べ、「ICTサービスのアウトソーシング、エンドユーザーによるデバイスの利用、情報共有、オープンデータ、廃棄されたICT機器の再利用と安全な廃棄など、新たな懸念事項において政策上のギャップがあった」と付け加えた。
セキュリティプロジェクトには長期にわたる遅延があり、社内では各部門がコンプライアンスへの取り組みを軽視していました。監査では、37の社内グループのうち28のグループが全く対応しておらず、特定された約1,500のウェブサイトとウェブアプリのうち、セキュリティ評価を実施したのはわずか1つだけであったことを「懸念」として指摘しました。
監査では、38,105人の職員のうち、セキュリティリスク全体を軽減するために設計された基礎的なITセキュリティに関する必修コースを受講していた職員が半数にも満たなかったことも判明しました。つまり、国連の知名度の高さを考えると、このような事態は避けられない事態だったと言えるでしょう。
SharePoint シャフト
犯罪者の侵入経路は、Microsoft SharePoint の既知の欠陥 (CVE-2019-0604) であり、この脆弱性に対するソフトウェア パッチは数か月前から提供されていたにもかかわらず、国連はそれを適用していませんでした。
この脆弱性を悪用されたリモート攻撃者は、ログインを回避し、システムレベルのコマンドを実行することが可能です。つまり、セキュリティの観点から大きな問題です。ハッカーはウィーンにある脆弱なSharePoint環境に侵入し、管理者権限を取得して組織のネットワーク内を移動し、ジュネーブ本部、そしてOHCHRにアクセスしました。
一体誰が脅威モデルに皇太子を組み込んでいるのか?国連報告書はサウジアラビア王族をベゾス氏のハッカーとして正式に名指ししている
続きを読む
報告書を見たサイバーセキュリティ研究者のケビン・ボーモント氏は、この侵入は「高度な脅威アクターの特徴を備えている」と述べた。
北朝鮮、中国、イランなどの国々がサイバー攻撃能力に多額の投資を行っており、民間の犯罪組織も存在するため、犯人は誰であってもおかしくない。報告書には特定のグループを示唆する痕跡は見つかっていない。これは、国連が事態全体を秘密にしようとした結果なのかもしれない。
もちろん、米国が標的となる可能性もある。米国は、北米大陸外にあるニューヨークの国連本部ではなく、ジュネーブの国連本部を法的に標的とすることができる。米国は他の国々と同様に、国連の密室で何が起こっているかを探ろうとしてきた長い歴史がある。
いずれにせよ、これは国連側の重大なセキュリティ上の失態であり、影響を受けた人々にさえも誰にもそれを開示しないという決定は、現代のベストプラクティスに反するものである。®
