沸き立つ大統領選を見つめるもう1つの目

米国の大統領選が盛り上がっていますが、この一大イベントにはサイバー犯罪者も目を付けています。候補者をからかう無料アプリなどをダウンロードしていると、思わぬ痛手を受けるかもしれません。

political-madness-featured

米国でヒートアップする選挙シーズン。現オバマ・バラク(Barack Obama)大統領の後任を選ぶ次期大統領選に向けて国中が盛り上がっています。そこで繰り広げられる「政治劇」は、もはやまるでリアリティ番組『Real World』のようです。

この一大イベントを見守るのは、米国民(と世界中の政治おたく)だけではありません。Euro 2016(英語記事)やNFLドラフトワールドカップのようなスポーツイベントと同じように、この「ショー」は、サイバー犯罪者にとって悪用の方法を探る格好の対象であり、やみくもな熱狂から行動する無防備な人々の足元をすくうチャンスでもあるのです。バーニー・サンダース(Bernie Sanders)氏やドナルド・トランプ(Donald Trump)氏の支持者は、目の前にある「今すぐクリック」という文字が、本当に支持の気持ちを示すためリンクなのかどうかにまで気が回らないかもしれません。

今回、選挙にまつわる詐欺や脅威に警戒するよう呼びかけようと思ったのは、こういった背景からです。

タダの代償

この投稿を書いている時点では、選挙は民主党のヒラリー・クリントン(Hilary Clinton)氏と共和党のドナルド・トランプ氏の一騎打ちになりそうです。どちらの候補者も敵陣にとっては非難の対象です。それぞれの選挙キャンペーンをフォローするアプリがあるかと思えば、対抗候補者を笑いの種にするような無料アプリもたくさんあります。

political-madness-android

こういったアプリでトランプ氏の頭上からフンを落としたりクリントン氏をFlappy Birdに仕立てあげたりすれば多少の気晴らしになるのでしょうが、タダより高いものはありません。無料のアプリにデータを委ねることのリスクについては以前書いたとおりですが、ここで改めてGoogle Playで配布されているある無料アプリを例にとり、アプリがどんなデータにアクセスするのか、どういった操作が可能なのかを見てみましょう。

アプリ内購入

アプリ内でアイテムやグッズなどの購入を利用者に許可します。

デバイスおよびアプリの履歴

デバイスの動作に関する情報、実行中のアプリ、閲覧履歴やブックマークを参照できます。

ユーザー情報

デバイスに保存されているさまざまなアカウントや、プロファイルデータを使用します。

位置情報

デバイスの現在位置を使用します。

写真/メディア/ファイル

デバイス上にある画像、ビデオ、オーディオなどのファイルやデバイスに外付けされるストレージ内のファイルを使用します。

Wi-Fi接続情報

Wi-Fiが有効になっているかどうかや、接続中のWi-Fiデバイス名など、Wi-Fiネットワークに関する情報を参照できます。

デバイスIDおよび通話情報

電話番号とデバイスIDを把握し、通話中かどうかを判断し、通話先の電話番号を突き止めることができます。

その他

インターネットからデータを受信します。

Google Playにあるアプリの開発元の多くは、「トップデベロッパー」ではありません。iTunesでも個人が作成したアプリが配信されています。個人データを渡す価値があるかどうか決めるのは、利用するあなた自身です。私には、かなりリスキーなことに思えますが。

political-madness-ios

公式アプリでも油断は禁物

個人データと言えば、今回の選挙戦の当初、共和党候補者テッド・クルーズ(Ted Cruz)上院議員と政治家ジョン・ケーシック(John Kasich)氏の公式モバイルアプリで、支持者の個人情報を漏洩する可能性のあるセキュリティ上の欠陥がいくつか判明しました(リンクはいずれも英語記事)。両氏は選挙戦から撤退したものの、そのアプリをダウンロードして自分の意思で個人情報を共有した数万名の利用者にとって、脅威が現実のものとなりました。

クルーズ氏のアプリを監査したVeracode社は、コーディングのスキル不足が「情報の漏洩、さらにはその悪用につながる恐れがある」と指摘しています。AP通信がVeracode社の調査結果をキャンペーンチームに伝えた後、アプリの脆弱性は修正されました。

メールに仕掛けられた罠

当ブログでは、フィッシングメールの危険性を何度も取り上げてきました。先程のアプリに関する記事によると、クルーズ氏のキャンペーンスタッフがフィッシングメールをクリックし、それによって認証情報をハッカーの手に渡すリンク付きのメールが支持者に送信されたとのことです。

そのスタッフが悪質なリンクをクリックしたのは、集中力の欠如が原因でした。以前の記事でも書いたとおり、リンクをクリックするときには、常に十分に注意を払ってください。

民主党側でも、メールが議論の的になりました。2015年3月に、クリントン氏が家族の私用メールサーバーを公務に使っていたことが発覚したのです(英語記事)。メールには、国務省で機密とされる情報も含まれていました。

このメール問題は、今月に入ってもまだ決着していません。「Guccifer」と呼ばれるハッカーは、クリントン氏のメールサーバーに不正アクセスしたのは2013年だったと述べています(英語記事)。しかも、アクセスは簡単(英語記事)だったとも。問題のアカウントはまだ検証されていませんが、今後、クリントン氏の国務長官在任中に機密または極秘情報が含まれるメールがそのサーバーから送信されたかどうかをFBIが調査することになるでしょう。

連邦政府だけでなく地方政府も

人々の関心のほとんどは、ホワイトハウスをゴールとするレースに向けられていますが、今年11月には地方議員を決める総選挙も待ち構えています。地方レベルの選挙は、連邦政府ほど多額の資金が投入されないにも関わらず、激しい選挙戦になる可能性があります。また、大統領選と同様、セキュリティホールと無縁ではありません。

2月には、リー郡州選挙Webサイトの管理者認証情報を漏洩する可能性のある脆弱性を暴露したとして、フロリダ州法執行局がデイビット・レビン(David Levin)容疑者を逮捕しました。

レビン容疑者は正しいことをしたつもりだったようですが、法の見解は違っていました。レビン容疑者は第三級の重窃盗罪に問われています(リンクはいずれも英語記事)。

米国だけではない

政治に関係したハッキングのリスクがあるのは、何も米国だけではありません。先日、アンドレス・スプルベダ(Andres Sepulveda)の犯行と、ほぼ10年に渡って選挙を不正操作するために彼がやったとされるハッキング行為の深層を取り上げた記事がBloombergで公開されました(英語記事)。腐敗、政治、またはハッキングに興味を持つ方におすすめです。

米国大統領選挙が迫っています。その過程で、無防備な人々を捕らえようとする犯罪者らを目にすることになるでしょう。候補者を面白おかしく弄るようなアプリをダウンロードしたり、支持の気持ちを示すためにリンクをクリックしたりするとき、さらに公式アプリをインストールするときにも、慎重を心がけてください。「Rock the Vote」(その一票が社会を決める)というスローガンがありますが、むしろ皆さんにはセキュリティをしっかりキメて、罠に掛からないようにしていただきたいものです。

ヒント