米軍に多数の不適切なアカウント、セキュリティ監査で明らかに（1/2 ページ）

米国防総省が実施したセキュリティ監査の結果、多くの休眠アカウントや不正なアカウントの存在が明らかになった。

[Paul F. Roberts，eWEEK]

　米軍が使用しているコンピュータアカウントのうち最大で20％が許可されていないか停止されたもので、これがハッカーや外国政府によるスパイ活動への悪用を招いていると、軍当局の幹部が発表した。

　軍が利用するユーザーアカウントの監査が行われているが、これにより、認証を得ていない期限切れのアカウントが大量にあることがわかった。国防情報システム局（Defense Information Security Administration：DISA）で3000件、陸軍韓国部隊で1500件、その他の機関で計数千件の不正アカウントが利用されているという。

　チャールズ・クルーム・ジュニア中将は、ずさんなアカウント管理とパッチ適用の遅れが、ハッカーの軍部システムに対する不正アクセスを招いており、軍部はITインフラの大幅な見直しを迫られていると述べた。

　このアカウント監査は、一斉「停戦」をきっかけとして、2005年11月に米国防総省（DOD）の軍部情報保証機関により実施された。クルーム中将は、DODが管轄するジョイントタスクフォース、Global Network Operationsの指揮官である。

　クルーム中将の今回の発表は、DODがフロリダ州パームハーバーで開催したCyber Crime Conferenceの年次会議で、軍部関係者やサイバー犯罪専門家に向けて行われた。

　「停戦を受け、軍のネットワークをどのように運用するかということを考えた。ユーザーアカウントの確認とはつまり、『だれがネットワークを利用しているのか、その利用は適切なのか』といった点を明らかにすることだ」（クルーム中将）

　だが、こうした調査ではしばしば否定的な結果が出たと、クルーム中将は述べている。監査はまだ完了しておらず、DODの全機関を調べ終わるのは3月になるということだ。

　監査対象となったアカウントのうち10〜20％は、何らかの理由で問題があると判断された。

　理由の大半は、アカウントが休眠状態にあるという単純なものだ。軍部内で配置転換になった軍人の古いアカウントが放置され、利用可能な状態になっていたのである。

　そのほかの問題のあるアカウントは、不適切に割り当てられたり、必要がないのに発行されたものだったと、クルーム中将は話した。

　不正なアカウントや悪質なアカウントの数については、クルーム中将はコメントしていない。

　しかし、部外者がこうしたアカウントを使って軍部システムにアクセスしている可能性を示す徴候が、複数確認されている。

　軍が不正なアカウントを割り出し、無効化するようになってから数週間後に、DODの職員を狙ったいわゆる「スピアフィッシング」攻撃が急増した。職員は、DOD上層部が送信したように偽装された電子メールを受け取り、その中でパスワードを提供するよう求められたという。

　クルーム中将は攻撃源を明かさなかったが、これはアカウントの管理運用法を変更した効果が現れた証拠だと話している。

手作業に頼るパッチ適用

　もっとも、米軍が直面している問題は、ユーザーアカウントの管理および提供（この作業はしばしば「プロビジョニング」と呼ばれる）体系の不備ばかりではない。