英国の選挙管理委員会が、中国のサイバースパイによる大規模なサイバー攻撃からの回復に3年以上、そして25万ポンド以上の費用を費やしたことが明らかになりました。昨年、同委員会は、データベースやメールシステムへの侵入を許した一連のセキュリティ上の欠陥について、公に厳重注意を受けています。
この攻撃について初めてインタビューに応じた委員会の新しいCEO、ヴィジャイ・ランガラジャン氏は、重大なミスがあったことを認めつつ、現在は組織の安全が確保されていると述べています。「事態全体は大きな衝撃であり、回復するのに数年かかった」と彼は語ります。「この経験によって、組織の文化は大きく変わりました。非常に苦しい教訓でした。」
ランガラジャン氏は、攻撃発生時にはCEOではありませんでしたが、同僚から、ハッカーを発見した時の状況を「家の中にいる間に泥棒に入られたような感じだった」と説明されたと話しています。
ハッカーによる最初の侵害は2021年8月、Microsoft Exchangeという人気のソフトウェアプログラムのセキュリティ上の欠陥を利用したものでした。世界中の組織が、この脆弱性を悪用した疑いのある中国のスパイによる攻撃を受けており、ソフトウェアパッチをダウンロードして身を守るよう警告されていました。しかし委員会は、数ヶ月間にわたる警告にもかかわらず、パッチを適用しませんでした。
ハッカーは、4000万人の英国有権者の氏名と住所を含む、公開されている選挙人名簿全体にアクセスできました。また、委員会の送受信メールすべてを読むこともできました。犯人はパスワードシステムのアップグレードが行われた2022年10月になって初めて発見されました。
セキュリティ上の失敗としては、ソフトウェアの更新を怠ったこと、脆弱なパスワード管理、政府によるセキュリティ監査の不合格、国家サイバーセキュリティセンターからの助言を無視したことなどが挙げられます。情報コミッショナー事務所は選挙管理委員会に正式な厳重注意を出しましたが、民間企業で同様のミスがあった場合、多額の罰金が科せられていた可能性が高いです。
ランガラジャン氏は、厳重注意に加え、議会関係者など利害関係者も、委員会の慢心に衝撃を受け、「一体何をしていたのか」と問い詰めたと述べています。セキュリティ上の欠陥について、個人が公に厳重注意を受けたことはありません。
ハッカーが委員会のITネットワークに侵入していた期間中に6回の補欠選挙が行われましたが、それらが影響を受けたという証拠はありません。しかし委員会は、ハッカーが何を行っていたのか、どのような情報をダウンロードしたのか、依然として把握できていません。
ランガラジャン氏は、ハッカーが不正ソフトウェアをインストールしたり、選挙中の通信を妨害したりしていた場合、大きな混乱を引き起こしていた可能性があると認めています。「これらすべてが、私たちに計り知れない問題を引き起こしていた可能性がありました。非常に危険な事態でした」と彼は述べています。
攻撃には中国のスパイが関与したとされ、英国と米国当局から制裁を受けました。中国は関与を常に否定しています。
ランガラジャン氏は、当時の職員は、委員会がハッカーの標的になるとは考えていなかったようだと述べています。これは、2016年の米国大統領選挙におけるヒラリー・クリントンのメールへのハッキングなど、高プロファイルな選挙干渉事件があったにもかかわらずです。「民主主義システムや選挙システムが標的になっていることを、全員が十分に認識していなかったのだと思います。私たちはこれまで、物事を運営する上でかなり楽観的でした。今後は、脅威に対して常に最新の情報を把握しなければなりません」と彼は語りました。
選挙管理委員会は、攻撃からの回復のために25万ポンドを超える助成金を受け、現在は予算の相当部分をサイバーセキュリティに充てています。また、ハッキング発生前に内部告発者によってBBCに失敗したと伝えられていた国家サイバーセキュリティセンターのCyber Essentials認証を取得し、さらに最高レベルの認証であるCyber Essentials Plusも取得しています。
Source: It's taken three years to recover from China hack, election watchdog says
