- シークレットサービス職員が公務中に私用デバイスを使用
- 私用デバイスは職員が直面する脅威に対応したセキュリティを備えていない
- 一方、政府支給端末もシークレットサービスの業務ニーズに対応できていない
米国土安全保障省(DHS)の監察官室は、米シークレットサービスがスマートフォンなどの政府支給機器(GFE)は任務に適さないとして使用を拒否しているという新たな報告書を公表しました。
この報告書によると、GFEは「外国の敵対勢力や個人によるサイバー攻撃からのリアルタイムかつ継続的な保護を確保できていない」とされており、端末には通信内容を漏洩させる恐れのあるセキュリティ脆弱性を抱えたサードパーティ製アプリが複数インストールされていることも判明しています。
任務を円滑に遂行するため、シークレットサービスの職員は法執行機関や同僚との連絡に私用デバイスを使用していますが、これらのデバイスの多くは、米国要人の警護中に直面する脅威に対する十分なセキュリティを備えていません。
政府支給スマートフォンのセキュリティ確保に苦慮する米政府
しかし、業務に私用デバイスを使用すること自体も、セキュリティ上の重大なリスクをはらんでいます。これらのデバイスには、国内外の任務中におけるシークレットサービス職員の所在地や警護対象者の動向が記録されている場合があります。
さらに、私用デバイスが備えるサイバーセキュリティ保護はあくまで一般消費者向けのレベルにとどまります。米国政府の管理・運用下にはないため、市販のスパイウェアやマルウェアに対する防御はほぼ期待できません。
なかには、私用デバイスをGFEのモバイルホットスポットとして利用したり、GFEではアクセスできないウェブサイトの閲覧に私用デバイスを使用したりしていたケースもありました。
報告書は次のように指摘しています。「私用デバイスがジェイルブレイクされていたり、悪意あるコードに感染していたり、セキュリティソフトウェアが最新状態でなかったりした場合、敵対者がデバイスの通信を傍受する可能性があります。脆弱性を抱えた古いアプリは、悪意ある行為者による監視、位置情報の追跡、職員の通信の録音を可能にするおそれがあります。また、セキュリティの確保されていないネットワークへの接続により、サイバー犯罪者がデータにアクセスしたりマルウェアをインストールしたりするリスクも生じます。」
職員がGFEを使用しない最大の原因として報告書が指摘したのは、シークレットサービスの最高情報責任者室(OCIO)の問題です。報告書によれば、「GFEモバイル端末に任務上不可欠な機能が欠如していたのは、シークレットサービスOCIOによるリクエストの審査・承認プロセスが現場のニーズを常に正確に把握できていなかったためである」としています。
また、多くの職員にとって私用デバイスの使用が当たり前の慣行となっていたため、GFEへの通信アプリ追加を申請するための煩雑な手続きを敬遠する傾向がありました。その結果、OCIOはこれらのアプリがすでにそれほど広範に使われていることを把握できず、情報の空白が生じていました。
さらに報告書は、2025年8月までシークレットサービスのGFEにはモバイル脅威防御(MTD)ソフトウェアが一切導入されておらず、「悪意あるソフトウェア、サイバー攻撃、その他の脆弱性」にさらされていたことも明らかにしています。また、海外任務から帰国した職員がGFEを返却した際、デバイスには重要なデータが残存していたことも判明しました。米国への帰国から24時間以内にデバイスを消去するよう定めたポリシーに反する状況です。
最終的に報告書は、シークレットサービスのセキュリティ体制を強化するために、以下の5項目を主要勧告として提示しています。
- 各任務に必要な機能・ソフトウェアをすべてのGFEに搭載することを義務付ける正式ポリシーの導入
- 全職員による必須サイバーセキュリティ研修の確実な修了
- 公務中の私用デバイス使用禁止に関するOCIOのガイダンスの周知徹底
- 帰国職員のデバイスをOCIOポリシーに従って消去するための管理体制の整備
- GFEモバイルアプリのコードを対象とした脆弱性テストポリシーの更新・適用
