いまは1990年代ではありません
「.mil」を「.ml」にタイプミス。米軍、内部メールを数年間マリ共和国に誤送信していたことが発覚
米軍が自軍内に送ったつもりのメールが、ドメイン名の打ち間違いによって、数年間も西アフリカにある国、マリ共和国に送信されていたことが発覚した。米軍のメールはドメイン名「.mil」を使用しているが、これを誤ってマリ共和国のドメイン「.ml」としていたためだ。
米Financial Timesによると、誤送信されたメールのいくつかには、米軍高官のスケジュール情報、組織内人員の医療記録、パスワード、米軍施設の所在地を示す地図情報、財務記録なども含まれていたとされ、米国防総省は問題発覚後すぐに再発防止措置を講じたとのことだ。
オランダの起業家で、これまで10年間マリ共和国のトップレベルドメイン管理を扱って来たJohannes Zuurbier氏は、当初からドメイン名が誤って送信されて来るメールの存在に気づいており、最近だけでも数万件の誤送信メールが確認されたとしている。これらのメールは機密扱いではなかったものの、上記のような、本来外部に漏れてはいけない情報も含まれていた。
Zuurbier氏は機密保持のため、これらのメールの存在は知りつつも公表することはなかったが、まもなくマリ政府との契約が終了になり、現在権力を握っている軍事政権がそれを引き継ぐ予定であることから、米国当局に誤送信メールについて警告する書簡を送ったとのこと。
誤送信メールがZuurbier氏の元に流れていたことは、米国政府にとっては幸運だったと言えそうだ。これがもし、悪意あるハッカーなどに流れれば、メール内容を盾に取り、何らかの交渉に利用される可能性もあったかもしれない。なお、米軍当局者らによると本当に重要な機密事項とされる情報の伝達は、インターネット上のメールとは異なるITシステムを通じて送信されるため、宛先を誤って送信しても、第三者にそれが届く可能性は低いという。
英BBCは国防総省への問い合わせで、この問題を同省は認識しており、真剣に対策に取り組んでいるとの回答を得たと伝えている。同省では「.mil」指定(のつもり)のメールが意図しないドメインへ送信されないよう、メールの送信者に受信者を事前検証するよう通知するなど、何らかのフェイルセーフ措置を講じているそうだ。たとえば「.mil」以外のドメインに送る際には確認プロンプトを表示する、といった措置は難しいことではないだろう。
以前に米国土安全保障省のIT法務部上級顧問だった弁護士のSteven Stransky氏は「日常的に最も重大なセキュリティ上の懸念事項は、人為的なエラーであり、それを常に完全に制御することはできない」と述べている。
- Source: Financial Times
- via: BBC