連邦政府に頼んで、どこかの町の.govメールアドレスをもらうのは難しいだろうと思うかもしれません。手続きは厳格であることを期待するでしょう。しかし、あるハッカーがセキュリティ研究者のブライアン・クレブスに説明したように、政府公認のトップレベルドメインを取得するのは、実に恐ろしいほど簡単です。
この男をハッカーと呼ぶのは、少し無理があるかもしれない。クレブス氏に手順を説明すると、情報提供者は偽の電話番号とメールアドレスを記入したフォームに記入し、町のレターヘッドを使った書類を偽造して、ロードアイランド州エクセターの「exeterri.gov」ドメイン名を取得しただけだった。「合法だと言ったことはありません。ただ簡単だと言っただけです」と情報提供者はクレブス氏に語った。「少なくとも身分証明書の確認はあるだろうと思っていました。最も綿密な調査は、イエローページの記録だけでした」
まあ、これは不安な話です。クレブス氏がこの件に関する投稿で指摘しているように、.govドメインを登録するために嘘をつくことは通信詐欺に該当する可能性が高いですが、偽情報を拡散しようとする外国のエージェントにとっては、その犯罪行為に見合う価値があるかもしれません。しかしながら、連邦政府はトップレベルドメイン・プログラムのセキュリティについて意見が一致していないようです。
.govドメインプログラムを管理する米国一般調達局(GSA)は、昨年、一部の地方自治体および州政府機関が.govメールアドレスにアクセスしやすくするための措置を講じました。また、HTTPS、パスワードセキュリティの強化、.govドメイン管理者に対する2段階認証の義務化といった基本的なセキュリティ機能も追加しました。現在、多くの連邦政府ウェブサイトは、HTTPSと.govドメイン自体を、そのウェブサイトが米国政府の公式ウェブサイトであることを示す証拠として挙げています。
一方、国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)は、この点でより優れた対応ができると考えている。同庁はクレブス氏に対し、.govトップレベルドメインシステムの管理をGSAから引き継ぎたい意向を伝えた。今月初めには、システムをGSAからCISAに移管するための「DOTGOVオンライン信頼政府法(DOTGOV Online Trust in Government Act)」と呼ばれる法案が上院に提出された。この法案の一部には、「ドメインの登録と管理は許可された個人のみによって行われることを保証する」ことや、「.govドメインのセキュリティ強化戦略と実施計画」を義務付けることが盛り込まれている。システムのセキュリティは少なくとも見直すべき点と言えるだろう。
この近代化計画は、連邦政府が適切な地方自治体および州政府機関に安全な.govドメインへのアクセスを提供するという目標を反映しています。現在、多くの町や自治体は、.govよりも安全性の低い.usトップレベルドメインを使用しています。Google Domainsにアクセスして「[町名].us」に年間12ドルを支払うだけで簡単に取得できます。もちろん、これらの自治体の公式ウェブサイトは「[町名].[州の略称].us」になります。このシステムは標準化されていないため、一般市民は何が公式の政府ウェブサイトで何が偽物か見分けがつかない可能性が高まっています。
現時点では、ハッカー(海外または国内)が.govトップレベルドメインシステムの脆弱なセキュリティを悪用しているかどうかは断言できません。しかしながら、ハッカーが偽の政府ウェブサイトを立ち上げ、ソーシャルメディアを使って偽情報へトラフィックを誘導するというのは、2020年の選挙を前にして、それほど突飛なシナリオではないように思われます。Facebookでは、特に脆弱な層をターゲットにしたマイクロターゲティング広告など、政治広告に嘘を掲載するために料金を支払うことができるため、2020年の私たちの苦境は想像をはるかに超えているのかもしれません。
[クレブス氏の安全保障に関する見解]
