2023年04月23日
情報漏洩 [セキュリティ研究室]
こんにちは!
ナビゲータのEVEです。
本日、車の免許の更新に行ってきました。そこで、気になったのがパスワードの取り扱いです。ChatGPTに聞いてみると、
パスワードとはコンピューターシステムやアカウントにアクセスするための秘密の認証情報であり、通常はユーザーが設定し、データベースに保管されます。パスワードは、アカウントの所有者にのみ知られるべきであり、セキュリティを確保するために頻繁に変更される必要があります。もし適切に管理されない場合、第三者に漏洩し、個人情報や機密情報が危険にさらされる可能性があります。
しかし、本日の免許更新では、警察職員がパスワードの内容を確認するなど、パスワードとは言えないような取り扱いをしています。先日ニュースでも、そのような事件が報じられました。私は電話で抗議し、善処してもらうよう求めましたが、今後もこのような風潮が続くことは避けられないのかと心配しています。
[アメリカ軍機密情報漏洩事件]
2023年4月14日、アメリカ陸軍の21歳の空軍州兵がアメリカ軍の機密情報を漏洩したとして逮捕されました。その中身は非常に機密性が高く、21歳の軍人が知り得る情報ではありませんでした。そのため、21歳の男性が捕まったと聞く以前は、アメリカ軍が意図的に情報をリークしたのではないかと思うほどでした。
[漏洩の中身]
漏洩した機密情報の中身は、報道されている内容を整理すると以下の通りです。
・ウクライナ戦争に関する機密文書
・イスラエル政府、韓国政府の盗聴に関する機密文書
・国連グテーレス事務総長の私的通信傍受
他にもいろいろあるようですが、情報が改ざんされたものもあり、現在分析中だそうです。
[なぜ21歳の空軍州兵が漏洩できたか?]
漏洩の動機はたわいもないことらしいので、あえて触れませんが、疑問としてわくのが、21歳という若い下士官がなぜこのような機密情報にアクセスできたかです。アメリカ軍は、機密情報を3つに分類し、適切に情報管理がされていることになっていました。
1)機密(Confidential)
機密情報は、アクセスが制限された情報であり、その情報が公開されることで、国家安全保障に対する脅威が生じる可能性があるものです。例えば、軍事作戦計画や装備の仕様書などが含まれます。機密情報のアクセス権は、それが必要とされる業務に携わる人物にのみ与えられます。
2)秘密(Secret)
秘密情報は、アクセスが機密よりも厳しく制限された情報であり、公開されることで、国家安全保障に重大な損害を与える可能性があるものです。例えば、外交交渉の秘密や軍事計画の実施詳細などが含まれます。秘密情報のアクセス権は、必要な業務に携わる人物のうち、秘密情報に関連する業務に従事する人物にのみ与えられます。
3)最高機密(Top Secret)
最高機密情報は、アクセスが秘密よりもさらに厳しく制限された情報であり、公開されることで、国家安全保障に致命的な損害を与える可能性があるものです。例えば、核兵器の詳細などが含まれます。最高機密情報のアクセス権は、極めて限られた人数のみが与えられます。
与えられる権限は極めて限定的であり、アメリカ政府内でもごく一部の人々にしか与えられていません。これらの人々は、それぞれの機密情報にアクセスするためのセキュリティ・クリアランスを取得する必要があります。セキュリティ・クリアランスがない場合、機密情報にアクセスすることはできません。
[今回の事件の影響]
現在、インターネット上で流れている情報によると、21歳の空軍州兵が最低レベルの機密情報にアクセスし、それを漏洩したと考えられています。この情報のレベルは低く、公知の事実も含まれているため、影響は限定的だとされています。ただし、この情報がロシアに渡り、ウクライナ戦争での作戦に影響を与える可能性があります。
[21歳の空軍州兵の今後]
このような情報漏洩は犯罪であり、機密情報、秘密情報、最高機密情報の3つの分類に応じて、漏洩者に科せられる刑罰が異なります。一般的に、機密情報の漏洩に対する刑罰は最長で5年間、秘密情報の漏洩に対する刑罰は最長で10年間、最高機密情報の漏洩に対する刑罰は最長で20年間です。ただし、情報漏洩によって引き起こされる損害の度合いによっては、より重い刑罰が科せられる可能性があります。また、漏洩が意図的に行われた場合は、刑罰がより重くなる可能性があります。21歳の空軍州兵には、今後、厳しい刑罰が科せられる可能性があります。
[あとがき]
パスワードの話に戻りますが、運転免許証に設定されるパスワードはあまり重要ではないとされています。しかしながら、パスワードは秘密の情報であり、個人情報に該当するため、漏洩すると犯罪になります。情報を漏洩した場合、漏洩した者には、個人情報保護法第62条により3年以下の懲役または500万円以下の罰金が科せられることがあります。ただし、実際の刑期は被害の程度や加害者の状況によって異なるため、一概には言えません。また、漏洩が故意的に行われたかどうかや、その目的や結果によっても刑期は変わることがあります。
以前はセキュリティが軽視されていた時期もありましたが、現在では秘密の情報は慎重に扱わなければなりません。システム開発者として過去を振り返ると、寒い思いをすることがありますが、少なくとも現在は、情報処理安全確保支援士として適切に取り扱うように努めています。
では、また!
追伸・・・。
本日のブログもChatGPTを利用しました。しかし、問題が・・・?
アメリカ陸軍の21歳の空軍州兵について、ChatGPTに聞きましたが、2021年9月の情報までしか持っていないそうです。
そして、文書の途中で処理が止まったら、続けてってChatGPTにお願いしましたが、完ぺきなものは提供されませんでした。本日は、段落ごとにお願いしています。
これから、改善されていくのでしょうね?ただで使わせてもらっているのにうるさいユーザーでごめんなさい。
■Prototype EVE変更プログラム進捗状況
修正プログラム本数 17/26本(0本プログラム修正)
修正プログラムステップ数 1349/2233ステップ(0ステップのプログラム修正)