メキシコの大統領選挙から学ぶ、サイバーセキュリティ対策の重要性

メキシコの金融機関に対するサイバー攻撃と、世界中で報告された選挙への不正干渉疑惑を受け、同国の大統領選挙がハッカーの標的になるのでは...という懸念がアナリストの間で高まっていました。

メキシコでは、選挙自体が投票用紙を使って行われる一方、票の集計とデータ送信は電子的な選挙システムによって処理されます。そして、その結果を選挙管理機関が信頼できる報道各社に対して公開する仕組みです。しかし、サイバーセキュリティサービス会社、マンディアントの政府機関向けソリューション担当バイスプレジデントであるロン・ブシャル氏は、「このような選挙プロセスにおいては、些細な混乱が疑いと不信を招きかねない」と指摘します。

特に今回は、世論調査で左翼の候補者が選ばれる可能性が高いことが示され、しかも、それがほぼ半世紀ぶりのことであったため、関係者は選挙前から緊張感に包まれていました。その噂の渦中にあった左翼の候補者、アンドレス・マヌエル・ロペス・オブラドール氏は、過去2回の大統領選挙においてライバルたちが共謀して彼の当選を阻止するための不正を行ったと訴えてきた人物です。これに対して他の候補らは、オブラドール氏の大統領就任がメキシコ経済に災いをもたらすと主張してきました。

このような対立の構図は、サイバー犯罪者にとっての格好のチャンスを与えます。

悪意のあるハッカーにとって「選挙の結果自体は大して問題ではない」というのが、ブシャル氏の見解です。実際の狙いは、「選挙プロセスの正当性に疑問を投げかける、あるいは政党間に大きな緊張を生み出す」ことにあるといいます。

2017年の12月には、米国の国家安全保障問題担当大統領補佐官を務めたH.R.マクマスター氏が、メキシコの選挙へのロシアの干渉について、プロセスに影響を及ぼすための具体的な方法に関する説明はなかったものの、その証拠があると発言し、警鐘を鳴らしました。また、メキシコ大統領候補だったリカルド・アナーヤ氏の陣営が、対立するオブラドール氏とその周辺の業者との関係を疑問視する情報を公開するために作成したWebサイトが何者かの「攻撃」によって閉鎖されたことを発表した際にも、ロシアの名前が取り沙汰されています。アナーヤ陣営は選挙運動中にも、そのハッキングがロシアの仕業だと訴えていました。

この点について、オブラドール氏、アナーヤ氏、そして3人目の候補であるホセ・アントニオ・ミード氏の選挙陣営にコメントを求めましたが、返答はありませんでした。

選挙プロセスのアキレス腱とは?

「サイバーセキュリティは引き続きメキシコの選挙プロセスのアキレス腱となる可能性があります」と、前メキシコ駐米大使のアートゥロ・サルカーン氏は指摘します。

この懸念の一因は、最近、メキシコで起こっている他のハッキングにあります。2018年の1月には、メキシコ国立貿易銀行がサイバー攻撃を受けて1億1,000万ドルもの窃盗未遂の被害に遭い、4月と5月には、ハッカーがグルポ・フィナンシエロ・バノルテなど5つの金融機関への侵入に成功し、1,500万ドル以上を盗み出しました。

サイバーセキュリティ関連の国際コンサルタントを務めるイズラエル・レイエス氏は、「実際にもメキシコの選挙システムは脆弱で、これらの銀行よりも攻撃を受けやすいのです」と指摘します。同氏は、メキシコの国営選挙管理機関であるINEから委託され、メキシコ国立工科大学の請負業者として選挙日に向けた広範なセキュリティ対策計画に参加していました。

レイエス氏は、同機関が、これまでサイバー攻撃やシステム障害への対応策の準備を怠っていたことを危惧してきたといいます。にもかかわらず、同氏がハーバード大学やMITのスペシャリストと共に参加した今回のセキュリティ対策計画は、完了させるための十分な時間が取れないという理由から、メキシコ国立工科大学によって3月に打ち切られたのです。

油断は禁物

メキシコで最も可能性が高いと考えられるサイバー攻撃は、多数の情報要求を繰り返し行なって回線をパンクさせ、INEWebサイトを停止に追い込む「分散型サービス拒否攻撃」と呼ばれるものでしょう。6月12日の大統領候補討論会中に、アナーヤ氏の陣営が被害に遭ったと訴えたのも、まさにこの種の攻撃でした。

INEは、リスクを軽減するために取り組んでいる」と語るのは、同組織に20年近く在籍する情報サービス責任者のホルヘ・トーレス氏です。「これらの問題には内部の経験豊富な人材が当たり、第三者による監査も受けています。」

具体的には、トーレス氏はメキシコシティにあるINE本部のオフィスの壁に取り付けた8つのモニターで同組織の情報システムを常時監視しており、その1つである「デジタル攻撃マップ」では、世界で日々発生しているサイバー攻撃の情報を確認することができます。

「選挙システムのうち、インターネットに接続されているのはINEのメインWebサイトのみで、それ自体には開票結果さえ表示されず、仮集計の提供元である報道機関の一覧が表示される」とトーレス氏は説明します。その他の通信システムはイントラネットワーク上で実行され、保護されているとのことです。

INEは、選挙前に脆弱性をしらみつぶしにすべく、選挙システムに対して攻撃のシミュレーションを行ってきました。また、メキシコ最大の電話会社を経営し、通信インフラの大部分を支配する億万長者のカルロス・スリム氏率いるサイタム社に、その作業の二重チェックを依頼したといいます。そこで、同社にそのテスト内容についての問い合わせを電子メールや電話で行いましたが、返答は一切ありませんでした。

「常にリスクはつきものですが、できる限り最小限に抑えようとしています」と、トーレス氏は述べています。

アメリカのテキサス州にあるライス大学のメキシコセンターのディレクターであるトニー・パヤン博士は、今回の大統領選挙において実際のロシアの介入は認められなかったと結論づけました。しかし、今後、世界各国でさらなる選挙の電子化が進んでいけば、同時にサイバー攻撃の危険性が高まることも避けられないのです。

--協力: マイケル・ライリー

本稿の執筆者:エリック・マーチン(メキシコシティ在住、emartin21@bloomberg.net)

本稿の担当編集者:ビビアン・ロドリゲス(vrodrigues3@bloomberg.net)、フィリップ・サンダース

©2018 ブルームバーグ L.P.

この記事はBloomberg向けにEric Martinが執筆し、NewsCredパブリッシャーネットワークを通じてライセンスされたものです。ライセンスに関するお問い合わせはlegal@newscred.comにお願い致します。