金曜朝(編集部註:2014 年 12 月 19 日)に発表された簡潔な最新情報の中で、ICANN は以下のように記した。「我々は、その攻撃が IANA に関連したシステムには一切影響を与えていないことを確認した。パスワードを危殆化された ICANN のスタッフたちは、IANA 機能のシステムへのアクセス権を持っていない」
また、インターネットの構造のトップレベルに影響を及ぼす IANA のメカニズムに関しては、「(他とは)切り離された、侵害を受けなかったシステムであり、そこには追加的なセキュリティ対策が講じられていた」と記されている。
$$$$
米国政府との契約の下、ICANN によって運営されている IANA は、一般的なセキュリティ処理に関して、いくつかの漠然とした内容――同組織は、「最も重要なサービスのために複数のレベルの保護を採用しており、その攻撃者たちは防御の表層を破ったものの、我々の最も重要なシステムには影響が与えられなかった」ということが、現在継続中の調査によって示されているという内容――の情報を提供している。
本日(編集部註:2014 年 12 月 19 日)の声明は、インターネットのコアシステムにいる人々が「比較的、洗練されていない攻撃(まあ、それは、CNN の表現によればの話だが)」の侵害を受けていないということを明確にするために発表されたが、いくつもの重要な質問に対しては未回答のままであり、それは同組織の基本的なセキュリティ処理に対する疑問を提起している。
ICANN は、IANA のシステムが損なわれていないと熱心に強調している。なぜなら現在、彼らは「半永久的に IANA を運営する契約」を取得する試みに深く関与しているからだ。
「そのプロセスを安全に実行する能力」に対して沸き上がる疑問は、(その試みの)すべてを台無しにし、この非営利団体に大規模な打撃を及ぼす可能性がある。
だが、どの程度の「追加のセキュリティ」が IANA システムに組み込まれているのかは明らかにされていない。このスピアフィッシング攻撃は icann.org のメールアドレス宛に送信されており、IANA のスタッフはメールアドレスに同じドメインを利用しているので、ICANN は「安全であった」というより「幸運であった」という可能性が充分にある。
●詳細に関しては沈黙のまま
(ICANN が)「セキュリティ・ポリシーに関する基本的な情報の提供を望んでいない」様子は、果たして彼らが適切な処置をしているのかどうかという点について、あるいは「インターネットの運営上、これほど重要な役割を担っている組織に我々が期待しているベースライン」を彼らが満たしているのかどうかという点について、疑問を抱かせるものだ。
適切な運営をしている全ての報道機関と同様、The Register ではメールシステムや編集のシステムに 2 要素認証を採用している。我々は現在、ICANN がブログや政府専用の wiki、そして世界のレジストリのために DNS ゾーンファイルを蓄えるシステムなど「よりありふれたシステム」の多くで、それを行っていなかったことを知っている。
IANA の重要なコンピュータにも同じことが言えるとは限らない、と我々は推測する――あるいは望む――ことができるものの、スタッフのメールが 2 要素認証を利用していないことは明らかだ。ICANN から米国政府に送られるメール自体が、「そのインターネットのトップレベルの組織は充分、改変に値するものだ」ということを現在の我々に知らせている以上、それは特に懸念されることである。
「各システムごとに異なるパスワードの要求」「複雑な機械生成のパスワードの利用」「暗号化されたパスワードの安全な保管」「定期的なパスワード変更の強制」「物理的なドングル」「全スタッフに向けた年に一度のセキュリティ教育とレビュー」等々、様々なセキュリティ対策が施行されていることを、我々は前提としたい。
非営利組織の ICANN は、いくつかの事情で、人々を安心させたいと願っていないらしい。1 つのレベルで考えるなら、それは理解できる話だ。情報を公開すると、それは悪党が攻撃体制を整える際に利用できる――言い換えれば、それはちょうど良い OPSEC になる。
その一方で、「何も情報を提供しないこと」は、「大多数のインターネット組織が払いのける攻撃によってコンピュータを侵害されることがなかった企業」だけに許される贅沢だ。
記事原文
© The Register.
(翻訳:フリーライター 江添佳代子)