2020年アメリカ大統領選でメール流出がなかったのは「物理的なセキュリティキー」の採用による可能性

2016年のアメリカ大統領選挙では、民主党候補だったヒラリー・クリントン氏の選挙対策責任者を担当したジョン・ポデスタ氏のメールが流出するなどのサイバー攻撃が起きましたが、2020年のアメリカ大統領選ではこれまでのところ大規模なサイバー攻撃の被害は報告されていません。この理由についてアメリカのニュース専門放送局・CNBCは、「物理的なセキュリティキー」の採用が大きかったのではないかと述べています。

Physical security keys protected 2020 election campaigns against leaks
https://www.cnbc.com/2020/12/23/physical-security-keys-protected-2016-election-campaigns-against-leaks.html

2016年、ロシアと関連があると推測されるハッカーグループがポデスタ氏の電子メールアカウントをハッキングし、クリントン陣営の数万通におよぶメールがWikileaks上で公開されました。この一件により「クリントン陣営の関係者が人身売買や児童の性的虐待に関わっている」とする陰謀論・ピザゲートが生まれるなど、選挙の結果に影響を及ぼしたとみられています。

ハッカーはポデスタ氏の電子メールを盗み出すため、ポデスタ氏に「アカウントがハッキングされた」と通知し、Googleのログイン画面に偽装した画面上でパスワードの変更作業を行わせたとのこと。こうしてハッカーはポデスタ氏の電子メールアカウントのログイン情報を入手し、電子メールを盗み出すことができました。

この一件がターニングポイントとなり、政府や民主党全国委員会のセキュリティに対する意識が変化したとのこと。重要なアカウントを保護するための有効な認証方法として注目されているのが、「物理的なセキュリティキー」です。

YubiKeyをはじめとする物理セキュリティキーは、Googleアカウントなどと連携することでセキュアな2段階認証を導入できる物理デバイスです。近年ではiPhoneにも対応するタイプが登場したり、物理的なセキュリティキーと生体認証を組み合わせる方式も登場したりと、物理セキュリティキーは進歩を続けています。

スマホでもPCでも使えるUSB Type-CとNFCを搭載した物理セキュリティキー「YubiKey 5C NFC」レビュー - GIGAZINE

実際、GoogleではYubico製の2段階認証用セキュリティキー「YubiKey」の導入により、従業員のフィッシングの被害が報告されなくなったとのこと。Googleは自社でも「Titan セキュリティ キー」という物理セキュリティキーを販売しており、ユーザーにセキュアな2段階認証を提供しています。

Googleの安全な2段階認証を構築し不正アクセスを防ぐ物理キー「Titan セキュリティ キー」使用レビュー - GIGAZINE

2019年、アメリカの連邦選挙委員会は「選挙資金規則に違反することなく選挙チームにセキュリティ製品を広めることを可能にする」という決定を下しました。そこで、選挙のセキュリティを保護する非営利機関・Defending Digital CampaignsがGoogleやMicrosoftと協力し、選挙キャンペーンにおける物理セキュリティキーの導入を進めたとのこと。

Googleは2020年2月に「政治キャンペーンに対しTitan セキュリティ キーへの無料アクセスを提供する」と発表し、Defending Digital Campaignsを介して1万以上の物理セキュリティキーを含むキットを配布したとブログ記事で述べています。Googleが配布したキットには、それぞれの関係者が日常で使うための物理セキュリティキーと安全な場所に保管する用の物理セキュリティキー、合計で2個の物理セキュリティキーが含まれていたとのこと。

Our work on the 2020 U.S. election
https://blog.google/outreach-initiatives/civics/our-work-2020-us-election/

また、Microsoftは民主党および共和党の全国委員会で1500人以上の人々にセキュリティ訓練を施し、多要素認証を導入するアドバイスなどを行ったそうです。Microsoftは物理セキュリティキーの問題として、「顔認証や指紋認証と違い、ログインに必要な物理セキュリティキーをなくす可能性がある」点を指摘。そこでMicrosoftは実行可能な代替手段として、スマートフォンを用いたログイン手法の「Microsoft Authenticator」を提案しています。

スマホがあればパスワードなしでセキュアにMicrosoftアカウントにログインできる「Microsoft Authenticator」 - GIGAZINE

この問題に詳しいCNBCの情報提供者によると、ジョー・バイデン氏の陣営は関係者に物理セキュリティキーを展開したとのこと。アメリカ国立標準技術研究所でサイバーセキュリティに取り組んだ経験を持つジェレミー・グラント弁護士は、「物理セキュリティキーが機能したため、ポデスタ氏のような事件は起きませんでした。選挙関係者のアカウントをフィッシングする試みがなかったわけではありませんが、彼らはフィッシングが起こり得ると知っており、それをブロックするツールがありました」と述べました。