13日付Bloomberg電子版は、7日までの間で国防省が実施した「発展版Hack the Pentagon」計画により、国防省や米軍が使用している重要文書をネット上で送付するシステムの欠陥が「わずか数時間」で指摘される等の成果があったと報じています。
「Hack the Pentagon」計画は、身元が確認されたハッカーや専門家を活用して国防省のITシステムの脆弱性を探索発見指摘してもらう試みで、2016年4月に第1回目が約1ヶ月間かけて実施され、この際は250名以上の有志ハッカーが、国防省の公開webサイトの脆弱性発見に取り組み、130個以上の問題を指摘しています。
元々はオバマ政権時のホワイトハウス「Digital Service部」が開始した政府としての取り組みですが、国防省「Department Digital Service」がこの取り組みを主導しています
昨年4月の成果を踏まえ、今回はより本格的な国防省の重要システムを対象としたプロジェクトとなり、3年契約を約4.5億円で請け負った「Synack Inc.」が具体的に運営する形式で実施されたようです
13日付Bloomberg電子版によれば
●7日まで約1ヶ月間行われた「発展版Hack the Pentagon」計画には、米国、カナダ、豪州、英国から約80名のネットセキュリティー専門家「ホワイトハッカー」が参加し、国防省が非公開を含む電子メール、文書や画像等をネットワーク上で転送するメカニズムが対象となった
●参加した「ホワイトハッカー」や彼らが使用したPCから、国防省の対象システムの仕組みや脆弱性が「敵」に漏洩することを恐れた国防省関係者の説得に関係者は苦労したが、「サイバー演習空間」に対象システムを模擬したネットシステムを構築し、更に追加で情報漏洩防止対策を行い、現実に近い模擬空間で脆弱性を確認する手法で実施された
●本プロジェクトにシアトルから参加したWesley Wineberg氏は、「国防省のシステムは、重要な事項を扱うからと言って、他のシステムより厳重になっているとは限らない事が判ってきた」「ある部分は厳重に設計されているが、一部が極めて脆弱だった」と感想を語っている
●国防省「Department Digital Service」で「bureaucracy hacker」と呼ばれるLisa Wiswell女史は、1月11日に計画を開始し、関係者には「1週間ぐらいで反応があるだろうからスタンバイせよ」と伝えていたが、実際には数時間で脆弱性の報告が始まったと効果を説明してくれた
●「Synack Inc.」社は、同様の「ホワイトハッカー」活用を銀行やクレジット会社と契約して行っており、発見した脆弱性のレベルに応じて参加ハッカーに報酬を支払う仕組みを導入し、最近の例では約350万円を手にした者も居るようである
●国防省自身も自前で省内に「ハッカーチーム:red teams」を編制する努力をしており、過去数年で人員を倍に拡大しているが、給与やラフな勤務環境に惹かれて有能な人材は民間企業に流れるため、依然として多くを民間企業に委託しており、自前で国防省全体にニーズを満たせない状態にある
●国防省の試験評価局の報告書によれば、「国防省の職員や兵士は、ネットワーク防御を行政の業務と捉え、戦闘能力と認識していないケースが多い」と指摘し、「この態度を改めない限り、日進月歩のサイバー攻撃との戦いの苦悩は続く」と意識改革を求めている
●国防省内では、最も基礎的なシンプルなレベルの問題が指摘されたことが担当専門家を驚かせており、今後この手法を「指揮統制システム」や「人材データ管理システム」を対象に実施することを検討し始めている。
///////////////////////////////////////////////////////
「Hack the Pentagon」計画は重視されているようで、政権移行の申し送りでも、第1日目に重要事項として取り上げられたと上記記事は伝えています。
忘れない程度にサイバーは重要だ重要だと叫んでいるだけで、まんぐーす自身のPCの動作不安定にも「放置プレー」状態なのですが、こんな野郎が組織に所属していると、ある日突然流出事案とか引き起こすのかも知れません
戦闘機より遙かに安い予算額で、「Hack the Pentagon」計画は進んでいるようですので、参考にしたいものです・・・
Hack the Pentagon関連記事
「第1弾成果発表」→http://holyland.blog.so-net.ne.jp/2016-06-20-1
「計画発表」→http://holyland.blog.so-net.ne.jp/2016-03-04-1
サイバーと宇宙関連記事
→http://holyland.blog.so-net.ne.jp/archive/c2302888136-1