サイバー空間に安全はない No safety in cyberspace

 非常に多くの時間を食い、非常に多くのカネがかかる不可視の世界であるサイバー空間にあえて入ってみたが、それが、使用可能な唯一のトイレにドアがなかったというような悪夢を繰り返し見るみたいなものだというのは、皮肉である。用心深さが一段と高まるまでは、プライバシーが守られることは、例外的なものだと言っていいし、一方、窃盗は日常的に行われている。

 税関・国境警備局(CBP)は、ハッカーが最近、米国の国境を越えた10万人の旅行者の写真と、彼らのナンバープレートの画像を盗んだことを認めた。AP通信によると、テネシー州を拠点とするナンバープレート認識(道路交通の監視・違反の取り締まりなどで車両の特定に使われる)の下請け業者「パーセプティックス」が、政府の許可なしに、自社のデータベースに画像を移し、それがハッキングされるというかたちで、漏洩(ろうえい)事件は起きたのだという。

 今年、それより以前に、連邦緊急事態管理庁は、2017年のハリケーンと山火事の生存者230万人の個人情報を「誤って」請負業者に渡してしまい、もっと大型の漏洩事件を起こしていた。こういった情報漏洩は、信頼されて、任されているサイバーセキュリティーの専門家側に欠陥があることを示している。そして、それは、日ごとに悪化している。

 2017年には、1632件の情報漏洩が起こり、それは1億9800万の公共および民間部門の記録の漏洩につながったと、個人情報窃盗資料センターは伝えている。同センターの記録によると、氏名と共に、社会保障ナンバー、運転免許証ナンバー、医療記録、金銭関係のファイルのような慎重に扱われるべき情報が漏洩した。2018年には1244件に減少したが、盗まれたデータの数は、4億4700万件と2倍以上になった。漏洩事件は、2019年に入って、今まで、急な坂道を暴走する汽車並みに増加している。1月には、100万件の極秘データが漏洩し、2月には240万件、3月には360万件、4月には450万件となっている。全部で、15億件近くのデータが2005年1月から2019年4月までの間に抜き取られた。

 ほかのデータハッキングは、それだけで天文学的な数字となっている。ヤフーは、2013年と2014年に一連のハッキングテロで、30億人のユーザーの氏名、生年月日、eメールアドレス、パスワードを失った。マリオット・インターナショナルは2014年に侵入され、ハッカーらは、2018年に漏洩が発覚するまでに、5億人の個人情報を集めていた。米信用情報会社大手のエキファクスは、1億4300万人のユーザーの個人情報を強奪した2017年のサイバー攻撃の標的となった。

 データの窃盗は個人の消費者にとっては、頭痛の種であるが、軍事機密が奪われることは国家の安全を脅かす。あるオーストラリア人の防衛関連の請負業者は、2016年のサイバー攻撃で、米国の主力戦闘機F35の「機密扱いではない」データを盗(と)られた。米国の防衛作戦に侵入し、貴重な知的財産を集める能力で悪名高い中国は、新しいジェット戦闘機、J32を所有している。それを、中国は誇らしげに見せびらかしているが、観測筋は、そのデザインが、米国のF35戦闘機と著しい共通点を示しているということに気付いている。

 クレジットカードの発行者が、ハッキングされたばかりのカードの取り替えを消費者らに急がせる一方で、消費者が買い物ができずに困っているというのは由々しき事態である。米国の戦士らが、戦場で、あるいは、上空の戦場で、彼ら自身の国の兵器と対峙(たいじ)させられるのは何とも情けない話だ。

 連邦議会は、官民両方の部門のためのサイバーセキュリティー改善策を強化する役割を担っている。対サイバー労働者法は、超党派の法案で、サイバーセキュリティー見習い計画をサポートするための米労働省の指揮下の大計画を作り出すものである。これは、この産業界に才能あふれる人たちを引き付ける可能性を有している。この法案を支持する人たちによると、現在、年間、30万人の労働者不足に悩んでいるということだ。昨年、下院で提案され、その起草者は、ジャッキー・ローゼン下院議員(ネバダ選出、民主)で、5月に再提出された。2回目のチャンスに懸ける価値はある。

(6月17日付)

◆   ◇   ◆

It’s ironic that venturing into cyberspace, the invisible world that occupies so much time and costs so much money, is like reliving one of those nightmares in which the only available bathroom has no door. Until discretion gets an upgrade, privacy is the exception and thievery is the rule.

U.S. Customs and Border Protection made the admission last week that hackers stole photographs of 100,000 travelers who have crossed the U.S. border recently, and images of their license plates. The breach occurred, according to the Associated Press, when Perceptics, a Tennessee-based subcontractor of license plate readers, transferred the images without government permission to its own database, where it was hacked.

Earlier this year, the Federal Emergency Management Agency suffered a more expansive breach when it “mistakenly” transferred to a contractor the private information of 2.3 million survivors of 2017 hurricanes and wildfire. These data breaches are indicative of a failure on the part of cybersecurity professionals to safeguard the electronic valuables with which they are entrusted. It’s getting worse by the day.

In 2017, 1,632 data breaches led to the exposure of 198 million public- and private-sector records, reports the Identity Theft Resource Center. Included in the center’s tabulation are incidents in which an individual’s name is exposed along with sensitive information such as Social Security number, driver’s license number, medical records or financial files. Break-ins fell in 2018 to 1,244, but the number of records stolen more than doubled to 447 million. Breaches so far in 2019 have been like a runaway train on a steep hill: 1 million sensitive records exposed in January, 2.4 million in February, 3.6 million in March and 4.5 million in April. All told, almost 1.5 billion records were taken between January 2005 and April 2019.

Other record hacks have been astronomical in their own right. Yahoo lost the names, dates of birth, email addresses and passwords of 3 billion users during a series of hack attacks in 2013 and 2014. Marriott International was penetrated in 2014 and hackers collected personal information of 500 million customers before the breach was discovered in 2018. Equifax was the target of a cyber-attack in 2017 that plundered the personal information of 143 million users.

Stolen records pose headaches for individual consumers, but losses of military secrets threaten national security. An Australian defense subcontractor lost “non-classified” data from the top-line U.S. F-35 joint strike fighter in a 2016 cyber-attack. China, notorious for its ability to burrow into the operations of U.S. defense and collect valuable intellectual property, has a new jet fighter, the J-31, that it displays proudly. Observers notice that the Chinese plane has striking design similarities with the American F-35 fighter.

It’s an inconvenience when consumers suffer the aggravation of putting off purchases while their credit-card issuer rushes them a replacement for a card that was just hacked. It could be disastrous for American warfighters to be confronted by their own weaponry on or above the battlefield.

Congress has a role to play in promoting better cybersecurity for both the government and the private sector. The Cyber Ready Workforce Act, a bipartisan bill that would create a grant program administered by the U.S. Labor Department to support cybersecurity apprentice programs, could attract talent to the industry, which bill backers say currently suffers an annual shortfall of 300,000 workers. The legislation stalled in the House last year and the sponsor, Rep. Jackie Rosen, Nevada Democrat, reintroduced it in May. It deserves a second chance.

June 17, 2019