アリゾナ州の選挙当局によると、州全体の政治候補者向けオンラインポータルを標的としたハッキングにより、複数の候補者の写真が故イランのアヤトラ・ルホッラー・ホメイニの画像に書き換えられる被害が発生しました。
当局は脅威は封じ込められ、脆弱性も修正されたとしつつも、連邦政府から十分な支援を受けていないと非難し、トランプ政権下でサイバーセキュリティ・インフラストラクチャー庁(CISA)が選挙セキュリティの信頼できるパートナーではなくなったと主張しています。
アリゾナ州務長官室の最高情報セキュリティ責任者であるマイケル・ムーア氏はCyberScoopに対し、6月23日に多くの職員が会議に出席していた際、何か異常が起きていることに最初に気付いたと語りました。候補者ポータルを管理していたユーザーの一人が、サイトにアップロードされた候補者の画像の一つが「おかしい」と気付き、それがホメイニの写真のように見えたためです。翌日には、数年前まで遡る候補者プロフィールも同じ写真で改ざんされていたことが通知されました。
「最初に連絡したのはアリゾナ州の[国土安全保障省]でした」とムーア氏は語りました。「トラブルシューティングを開始し、その部分のサイトをロックダウンし、攻撃対象領域を減らすための予防措置を取り始めました。」
ムーア氏によると、州全体の有権者登録データベースや家庭内暴力被害者のための機密保持システムなど、他の重要なシステムはネットワークの他の部分から分離されたサーバー上でホストされているとのことです。攻撃者が州の有権者名簿に「アクセスしようとした形跡すらない」と述べました。
インシデント対応担当者は、攻撃者が候補者ポータルを利用して、Base64でエンコードされたPowerShellスクリプトを含む画像ファイルをアップロードし、サーバーの乗っ取りを試みていたことを突き止めました。
ムーア氏は、影響を受けた候補者ポータルは古いレガシーシステムであり、セキュリティを考慮して設計されていなかったと説明しました。他の多くの州全体のシステムと異なり、この候補者ポータルは一般からのアップロードを受け付けることを明示的に目的として作られていました。
ムーア氏はこの状況を「城に囲まれた村のようなものだ」と例えました。「堀があり、跳ね橋があり、格子戸があり、城壁には警備員がいる。」
「しかし、村が商売をする必要があるときには、ドアや窓が開いていて、敵が正規の商人を装って簡単に入ってこられる…」と述べました。
ハッキングの内容とタイミングから、親イラン派の関与が示唆されます。この事件は米国がイランの核施設を爆撃した翌日に発生し、改ざんされたページにリンクされたTelegramメッセージでは、トランプ大統領の行動に対するアメリカ人への報復が予告されていました。
ムーア氏は、現時点で攻撃の明確な犯人特定には至っていないと述べました。
悪化するパートナーシップ
長年にわたり、CISAは州と連邦政府の間で選挙セキュリティを調整し、脆弱性やハッキングキャンペーンに関する情報共有、サイバーセキュリティ専門家の派遣、インシデント対応支援などを行ってきました。
アリゾナ州は州のDHS(国土安全保障省)を通じて、FBIを含む複数の連邦機関にハッキングについて連絡しましたが、CISAはその連絡先には含まれていませんでした。
選挙セキュリティに長年注力してきた民主党の州務長官エイドリアン・フォンテス氏は、厳しい声明の中で、かつて実り多かったCISAと州のパートナーシップが、トランプ政権下で「弱体化し、政治化された」ことで損なわれたと述べました。
「2024年までは、CISAはアメリカのデジタルインフラを守るという共通の使命において強力で信頼できるパートナーでしたが、それ以降は現政権によって政治化され、弱体化しています」とフォンテス氏は述べました。
フォンテス氏は、数か月前に国土安全保障長官クリスティ・ノーム氏に書簡で直接関係構築を求めたものの、「完全に無視された」とも語りました。
「彼らの最近の対応や、連邦レベルでの広範な傾向を考えると、[CISA]が誠実に協力したり、国家安全保障を政治的パフォーマンスより優先したりする能力に対する信頼を失いました」と続けました。「これはまさにロシア、中国、イランなどの外国の敵対勢力が利用しようとする分断です。サイバーセキュリティは決して党派的な問題であってはなりません。政府間の信頼が崩れると、我々の民主主義制度が危険にさらされます。」
ドナルド・トランプ大統領とその政権は就任以来、CISAの予算と人員を大幅に削減し、地方事務所を廃止し、偽情報対策の専門家を解雇し、州選挙セキュリティへのかつての強力な支援を大幅に減らしてきました。
ムーア氏もフォンテス氏の見解に同調し、CyberScoopに「2024年まではCISAと協力するのは簡単で自然なことだった」と語りました。以前の政権下ではCISAの職員の連絡先を多数持っていたが、「今、2025年には[連邦]サイバーセキュリティアドバイザーはいません」と述べました。
「時折、地域レベルでCISAと連絡を取ることはありますが、以前のような直接的な支援はありません」とも述べました。
選挙以外の分野でも、ムーア氏は週末にMicrosoftが公表した大規模なSharePointの脆弱性を、CISAの対応力や国家的なサイバー脅威への調整意欲が低下している典型例として挙げました。
「実質的に、我々は連邦政府を自力で再現しようとしているようなものです」とムーア氏は述べました。「以前ならCISAが[SharePointの脆弱性への調整]の先頭に立っていたでしょう。今回、CISAからイベントの警告メールが届いたのは[月曜]の朝で、それでは遅すぎます。事態は金曜の朝に始まり、月曜の朝にはすでに被害が出ていました。」
CISAはアリゾナ州でのこの事件について、CyberScoopの問い合わせに回答しませんでした。
元DHS(国土安全保障省)高官はCyberScoopに対し、「トランプ政権下で、民間部門や州・地方政府の間でCISAに対する信頼が失われているようだ」と語りました。
特に政権交代により、「CISAが連邦の主要な民間サイバー対応機関であるという位置付けが軽視されている」と元高官は続けました。さらに、同庁にはまだ上院承認済みのリーダーが不在であり、「技術部門、特にエンジニアリングや技術サービス部門など、代替が難しい多くの人材を失った」とも述べました。
この高官は、DHSとのやり取りについて率直に話すため匿名を希望しました。
さらに、期限切れが迫るサイバーセキュリティ情報共有法の再認可など、同庁に関連する他の重要事項についても連邦政府の対応がないことが、「CISAの関係者にとって、6~7か月前のように信頼できる機関なのか疑問を抱かせている」と述べました。
元高官は、政権がCISAの使命に対する認識や期待を変えようとしていると考えており、トランプ氏やノーム氏らが同庁の選挙セキュリティ業務を厳しく批判していることを指摘しました。
「私の感覚では、これはまさに彼らが望んでいたことで、CISAや省庁との関係をリセットし、さらに省庁間やその外でのCISAの認識や行動を変えることだったのだと思います」と元高官は述べました。「彼らが『中核的な使命をサイバーに集中させる』と言うとき、それはEINSTEINのような記録プログラムや、継続的診断・緩和プログラムのようなものに重点を置き、インフラ保護との関係をリセットし、評価やサイバー衛生関連のイニシアチブにより的を絞ったリソースを提供することを意味していると思います」と続けました。「ただし、それがまだ実際に進行しているわけではなく、現状は中途半端な計画のようなものです。」
翻訳元: https://cyberscoop.com/arizona-secretary-of-state-website-hack-candidate-portal-criticizes-cisa/