分析米国の連邦規制当局であるFCCに対する虚偽のサイバー攻撃をめぐる大失態は議会へと持ち込まれ、政治家らはFCC委員長を「職務怠慢」で非難している。
下院エネルギー・商業委員会の民主党議員4人は、今週木曜日の公聴会に先立ち、アジット・パイ議員に書簡[PDF]を送り、同議員が主張する攻撃について何を知っていたか、いつそれを知ったかを明らかにするよう要求した。
今月FCCの監察総監が発表した報告書は、多くの人がすでに疑っていた事実を裏付けた。つまり、物議を醸しているネット中立性撤回をめぐるFCCのパブリックコメントシステムの崩壊は、FCCが主張したような分散型サービス拒否(DDoS)攻撃によるものではなく、提案を批判するテレビ番組によってウェブサイトに誘導された人々の波の結果だったということだ。
公式報告書[PDF]では、虚偽の主張の責任はFCCの元CIOとCISOにあるとされているが、ワシントンDCの極度に党派的な世界では、議員たちはこれを共和党の議長アジット・パイへの攻撃に変えようと決心した。
「我々は、連邦通信委員会(FCC)の監察総監による、分散型サービス拒否攻撃疑惑に関する調査報告書に深く懸念を抱いている」とパイ氏宛ての書簡には記されている。
「このサイバー攻撃疑惑が1年以上にわたりメディア、国民、そして議会から大きな注目を集めていたことを考えると、IO報告書の発表が、あなたとあなたのスタッフがサイバー攻撃が発生しなかったことに初めて気づいた時だったとは信じがたい。」
さらに、パイ氏を個人的に攻撃し、「特に申し立ての重大さと明白な証拠の欠如を考慮すると、このような無知はFCCのトップとしての職務怠慢を意味するだろう」と述べている。
さらに踏み込んだ意見もある。ネット中立性擁護団体「Fight for the Future」はパイ氏を「恥ずべき存在」と呼び、嘘をついていると非難して辞任を要求し、虚偽の説明を受けて議会は「アジット・パイ氏によるネット中立性の腐敗的骨抜きを覆す行動を直ちに取る」べきだと主張している。
誤った方向
こうした攻撃的な戦術は、民主党、特に「ファイト・フォー・ザ・フューチャー」に対するパイ氏自身の攻撃的な発言を考えればまったく驚くべきことではないが、それでもやはり誤った方向への動きである。
パイ氏はFCCで数々の疑問の残る改革を推し進めてきたが、最も物議を醸したのはメディア大手シンクレア・ブロードキャスティングを支援するために考案されたと思われる一連の改革である。また、ネット中立性に関する同氏の行動は連邦規制当局のトップに期待される水準をはるかに下回っているものの、今回の件では、パイ氏はほぼ期待通りの行動をとった。
FCC監察総監の報告書は、FCCに対する容赦ない批判を展開し、繰り返し反対の主張がなされているにもかかわらず、FCCのITチームがサイバー攻撃を受けたと結論付ける前にコメント提出システムへの大量のリクエストを適切に分析していたという証拠はないと指摘した。
システムがダウンした明らかな原因は、ケーブル番組「Last Week Tonight with John Oliver」が視聴者に FCC サイトにアクセスして意見を述べるよう積極的に勧めたことによるものでした。
FCC のシステムのログを見ると、番組が視聴者にリダイレクトされたドメイン名 (gofccyourself.com) を通じて FCC に連絡するよう促した瞬間にトラフィックが明らかに急増したこと、また番組がソーシャル メディアでその呼びかけを繰り返した際にも関連する急増が見られた。
いずれにせよ、最高情報責任者(CIO)のデビッド・ブレイ氏はFCCの経営陣に対し、システムがダウンしたのは「外部の人間が大量のトラフィックを送信して、他のサーバへの応答を妨害しようとした」ためだと語った。
実際、ブレイ氏は状況を完全に誤読し、「アノニマスやハッカーコミュニティと提携しているグループ」である4Chanがサービス拒否攻撃の背後にいると判断した。その根拠は「普通の人は1ミリ秒以内に何度も何度も手動でコメントを投稿することはできないので、これは間違いなく高トラフィックを狙ったものだ」というものだ。実際、彼は自身のシステムを誤解し、ログを読み間違えていた。
あなたは確かに?
アジット・パイの首席補佐官デビッド・ベリーはこの説明に納得せず、実際に攻撃があったという確証を求めた。「ジョン・オリバーの視聴者集団によるものではないと確信していますか?」と、彼はブレイに直接メールで尋ねた。ブレイは「はい、外部の人間が故意にサーバーを占有しようとしたと99.9%確信しています」と返答した。
その結果、システムダウンの原因説明を迫られたFCCは、翌日、CIOの結論に基づく声明を発表しました。ブレイ氏の保証にもかかわらず、FCCの発表では、声明はFCCや議長ではなく、ブレイ氏からのものであることが明記されました。
「連邦通信委員会(FCC)の最高情報責任者であるデビッド・ブレイ博士は本日、FCCの電子コメント提出システム(ECFS)にコメントを提出しようとした消費者が最近経験した遅延の原因について、以下の声明を発表しました」と始まり、ブレイ博士の発言を引用した。「我々の分析により、日曜日の深夜からFCCは複数の分散型サービス拒否攻撃(DDos)にさらされていたことが明らかになりました…」
もちろんブレイ氏の考えは間違っていた。しかし報告書は、混乱の一因として、テレビ番組側がFCCに対し、番組の一部放送と当日のトラフィック増加の可能性について事前に警告していたにもかかわらず、FCCがブレイ氏にそのことを伝えていなかった可能性を指摘している。
「トニー・サマーリン氏とのインタビュー中、サマーリン氏は『ブレイ氏はジョン・オリバー氏の事件について知らされていなかったことに激怒していた』と語った」と報告書は指摘している。
「攻撃」が始まった正確な時刻については混乱があった。ブレイ氏はテレビ番組よりも早く始まったと確信していたが、実際にはちょうどその時刻と一致していた。さらに、ブレイ氏は自身のチームが交通の「分析」を実施したと主張し続けたが、監察官の報告書にはそのような分析は行われていなかったと記されていた。
「我々は、ブレイ氏がプレスリリースで言及した分析を入手し、検討し、その分析とその後の分析のログと裏付けとなる文書を入手し、検討することを期待していた」と報告書は指摘している。「しかし、プレスリリースの結論を裏付ける分析はなく、その後の分析も行われておらず、ログやその他の資料は容易に入手できないことがすぐに判明した。」
バックアップ失敗
組織のITチームが経営陣に対し、分析を実施し正しい結論に達したと保証していたというこの問題は、その後の議論や会議でも継続されました。監察官による調査中も、FCCの最高情報セキュリティ責任者であるレオ・ウォン氏は、特に「攻撃」のタイミングに関して、結論は正しいと主張し続けました。
報告書はまた、ウォン氏がFCCのITスタッフとFBIの会議について虚偽の報告をしたと批判した。この会議は、攻撃がFBIの注意を必要とするかどうかを議論するために招集されたものである。
報告書にはさらに多くの詳細が記載されていますが、結論としては、いかに大きな失態であったとしても、FCC委員長のアジット・パイ氏もその直属のチームも、この混乱の責任を負っていなかったということです。彼らは実際には、困難な状況下でプロフェッショナルな仕事をしていたのです。彼らは以下のことを実行しました。
- システム担当者にシステムダウンの理由をすぐに説明を求めた。
- できるだけ早く声明を出す前に、その説明を再確認しました。
- 議長の組織自体ではなく、CIOからの声明を発表する。これは、不確実性が継続していることを示すものである。
- FBI に、FCC の IT チームと話し合って、介入すべきかどうか検討するよう依頼しました。
- 議員の情報要求に応じて、広報担当者に IT 担当者と直接話すよう指示し、その後、妨害することなくその情報を公開しました。
- 報道機関や議会で厳しく批判されているにもかかわらず、自らのスタッフの言葉を頼りにして、自らの懐疑的な見解を表明することを控えた。
パイ委員長は、何が起こっているかを大まかに知っていたことはほぼ確実だが、監察総監の報告書は、彼がプロセスに細かく干渉したり、過度に関与したりせず、組織にとってかなり恥ずかしい事件の処理をITおよびコミュニケーションスタッフに任せていたことを示しているようだ。
誤解された
パイ氏と彼のチームは、その後の監察総監(IG)による調査にもオープンかつ従順だったようだ。報告書には、そうでないことを示唆する暗号化された文言は見当たらない。また、監察総監は真相究明に必要な支援をすべて受けたようだ。
そして、ブレイ氏が原因について、そしてさらに重要な点として、詳細な分析を実施していたにもかかわらず実際には実施していなかったという事実について、FCC経営陣を明らかに誤解させていたことが明らかになると、彼は何の騒ぎもなくCIOの職を解任され、同時に組織内で一連の人事異動が行われました。つまり、パイ氏は彼をミスで責め立てることはなかったのです。
これらすべては、権力のある役人に期待されるような、まさにエグゼクティブな振る舞いを示している。実際、パイ氏が就任して以来、最もプロフェッショナルな振る舞いを見せていると言えるかもしれない。公の場での会合や講演ではしばしば不快で幼稚な態度を見せるが、危機管理においては優れたリーダーであり、他者が正気を失いそうになった時にも冷静さを保つことができる。
サービス拒否攻撃が行われた: FCCのネット中立性に関するコメントに対してDDoS攻撃は行われなかった
続きを読む
シンクレア・トリビューン合併の承認をめぐる問題が彼の机に届いた時も、同様の危機管理能力が発揮された。パイ氏は、問題を先送りして規制当局を不必要な論争に巻き込むのではなく、独立行政裁判所に付託することを決断した。この決断は、特にホワイトハウスとの関係において、彼の政治的な評価を落とす結果となった。
もちろん、危機が過ぎ去り、「DDoS攻撃」に関する監察総監の報告書が差し迫ると、パイ氏はいつもの調子に戻り、実際の報告書が発表される前に出した声明でブレイ氏を激しく非難した。
「前政権で雇用され、現在は委員会に所属していないFCCの元最高情報責任者(CIO)が、私や私の事務所、議会、そしてアメリカ国民にこの事件に関する不正確な情報を提供したことに深く失望している」と激しく非難した。
これは全く受け入れられません。また、前CIOの下で働いていた一部の人々が、彼が提示した情報に異議を唱えたり、疑問を抱いたりしていたにもかかわらず、私や私のオフィスに懸念を伝えることに抵抗を感じていたことにも失望しています。
同氏はさらにこう続けた。「一方で、私の事務所や私が、前CIOが提供した情報が不正確であることを知っていて、その不正確な情報が政治目的で流布されることを許していたという陰謀説が、この報告書によって覆されたことを嬉しく思います。」
党派的なナンセンス
現在、民主党とネット中立性支持者たちは、連邦規制当局が自らのシステムの恥ずべき障害の原因について完全に間違っていたというこの状況を利用して利益を得ようとしている。
FCCは恥じるべきです。特に、FCCの幹部が、自らの利益にならないという理由で、計画に反対する大多数の意見を意図的に無視したという事実は、恥じるべきです。
これは、イデオロギー的立場を押し付けたり大企業の利益を支持したりするのではなく、アメリカ国民を支援するために真摯な政策活動を行うことになっている組織の恥ずべき失態である。
しかし、DDoS 偽装攻撃に関しては、たとえ大惨事となったとしても、FCC 議長とそのチームが正しい行動をとったことを批評家は認める方がずっと良いだろう。®
