ハッカーのルナ・サンドヴィクは、キャリアの大半を、不正行為や汚職を世間の目から隠そうとする強力な敵対勢力からジャーナリストや報道機関を守ることに捧げてきました。ジャーナリストや活動家は、真実を隠蔽しようとする富裕層や資金力のある者たちの標的となりつつあります。国家と連携したハッカーがジャーナリストの受信トレイに侵入したり、政府がモバイルスパイウェアを展開して最も声高な批判者を監視したりしています。
ノルウェー出身のサンドヴィク氏ほど、ジャーナリストが直面する脅威をよく理解している人はほとんどいません。彼女はニューヨーク・タイムズの編集室をハッカーや国家レベルの敵対勢力から守り、Torプロジェクトで記者たちがオンライン活動を匿名で隠蔽できるよう訓練し、報道の自由財団のような組織が、TechCrunchのようなジャーナリストが情報源と安全に通信し、機密性の高い情報源文書を受け取るためのツールを構築するのを支援しました。サンドヴィク氏は著名なハッカーであり、セキュリティ研究者でもあり、最近では創設者でもあります。
グラニット氏は、サンドビック氏を代表とする新たなスタートアップ企業で、ジャーナリストや活動家だけでなく、政治家、弁護士、難民、人権擁護活動家など、危険にさらされている人々を、仕事の遂行中に直面する脅威から救うことを目指している。
「どんな時点でも、自分がやっていることで何らかの影響が出る可能性があるカテゴリーに自分がいると気づいた人は、私にとっては『リスクがある』ものであり、私が手助けできるものなのです」と、今週ニューヨークで話した際にサンドビック氏は語った。
サンドヴィック氏は、彼女の仕事と新しく立ち上げたスタートアップについて、リーダーがサイバーセキュリティへの取り組みをどのように優先すべきか、そしてすべての人が知っておくべきセキュリティに関するアドバイスについて語ってくれた。
わかりやすくするために軽く編集され、要約された私たちの会話は次のとおりです。
ZW:過去10年間、グラニットの基盤を築いてきましたね。ここまで辿り着いた経緯を教えてください。
RS: 10年前、私がTorプロジェクトで働いていた頃、資金援助を受けて記者たちにTorブラウザの使い方を教え始めました。しかしすぐに、強力なパスワード、二要素認証、ソフトウェアアップデート(例えば紛争地域に渡航する際に考慮すべき事項)についても理解していなければ、Torブラウザの使い方だけを教えるだけでは効果がないことに気づきました。そこで、オンラインで安全を確保するために何をすべきかというカリキュラムの構築を始めました。その後、私は報道の自由財団のコンサルタントとして似たような活動を行い、その後SecureDropにも取り組みました。ニューヨーク・タイムズでの私の役割も、こうした活動を基に構築されました。タイムズ紙で私の役割がなくなった後、私はProPublica、ラジオ・フリー・ヨーロッパ、フォード財団と協力し、個人のセキュリティだけでなく、メディア組織のビジネス側がニュースルームを支えるための支援方法についても検討しました。
私がこれまで行ってきた仕事の中には、ニュースルーム向けのワークショップのようなものもありました。記者と一対一で、彼らがこれから取り組むプロジェクトについて話し合う機会もありました。また、ビジネスサイドのIT担当者やセキュリティ担当者とも多くの話し合いを重ね、ニュースルームが直面している課題を理解してもらうよう努めてきました。どうすれば課題を最も効果的に解決できるのか?何に注意すべきなのか?そして、彼らはどのように慣れていくのか、そしてその後、どのようにニュースルームのスタッフを教育していくのか?10年前にはTorは存在していましたが、ユーザーエクスペリエンスがぎこちなかったため、「トレーナーのトレーニング」のような仕事もありました。2022年の今、オンラインで安全に調査を行うための、非常にユーザーフレンドリーで優れたツールが数多くあります。
ニューヨーク・タイムズで私が目にした一つの点は、サイバーセキュリティを担当するチームがあったことです。物理的なセキュリティを担当する人員、精神的な安全を守る人事部、そして発生する可能性のあるあらゆる法的問題に対応する法務部がありました。しかし、ジャーナリストの安全を確保するために何が必要かを考えると、実際にはこれら4つのグループの組み合わせが不可欠です。つまり、これら4つのグループが協力してワーキンググループを結成し、互いに話し合い、各メンバーが何をもたらし、スタッフをより良くサポートするために総合的に何ができるかを理解する必要があるのです。
そうですね。標的型ハラスメントや個人情報漏洩に関しては、ニュースルーム全体で同様の現象が見られるようになってきました。しかし、ジャーナリズムを支えるのはチームワークであり、村全体の協力と全員が同じ目標に向かって取り組むことが必要です。では、なぜグラニットという名前なのですか?
名前は「granite(花崗岩)」のノルウェー語の綴りです。本当にシンプルなんです。長年にわたり、親しい友人たちが私に何か自分でやってみるように励ましてくれ、私がやっている仕事は他に類を見ないもので、私がそれをやるのに最適な立場にいると指摘してくれました。
新しいスタートアップではどのような業務を行う予定ですか?また、ジャーナリストをサポートすることを目的として、セキュリティ面とさまざまなチーム間のコミュニケーションおよびコラボレーションの両方をどのように解決する予定ですか?
コンサルティング業務であることに変わりはありませんので、研修ワークショップや講演活動は今後も業務の一部となるでしょう。ニュースルーム向けの日常的なセキュリティガイダンスや、特定のプロジェクトに関するガイダンスも引き続き提供していく予定です。機密性の高いプロジェクトを引き受けようとしている人、出張を控えている人、あるいは情報提供チャンネルを開設したい人など、社内でそれらをサポートするプロセスをどのように構築していくか。これは間違いなく私の業務の一部です。しかし、ビジネス面では様々なチームとより緊密に連携し、これら4つのグループの人々がワーキンググループとして実際に集まり、スタッフが本当に必要としているもの、彼らが直面している脅威、彼らが実際にどのように働いているのか、そして彼らをより良くサポートするために何を理解する必要があるのかをより深く理解できるように努めています。
橋渡しは不可欠です。人々がこの問題に関心がないわけではないと思います。特定の人々が直面している課題を必ずしも認識していない人もいるでしょう。また、社内でこうした取り組みを立ち上げるのは、多くの点で容易です。ニューヨーク・タイムズなら十分なリソースがあるでしょう。しかし、小規模なニュースルームでも、専任の記者で構成されたワーキンググループを組織し、オンラインでの脅迫や嫌がらせに遭った場合の対応策や、フィッシング詐欺に遭った場合の対処法などを検討することは可能です。小規模なニュースルームでも、できることはたくさんあり、何もしないよりは何かした方が良いのです。
この会社を立ち上げるきっかけは何かありましたか?「これはやらなきゃ」と思わせるような出来事が一つあったのでしょうか?それとも、何年もかけて徐々に色々な出来事が重なっていったのでしょうか?
私がやっているようなことをしている人は多くないことを、私はずっと感じてきました。記者のセキュリティに特化している人は多くありません。そして何年も経つうちに状況は変わり、ニュースルームやメディア組織のビジネスサイドを教育する、この種の仕事をする人が増えています。私が自分で何かを始めることに抵抗を感じていたのは、それが単なる副業になるだろうと考えて、自分の邪魔をしているだけだったからだと思います。今では、名前、ロゴ、ウェブサイトを備えた正式な事業になっています。よりワクワクし、投資する準備ができています。私にとって、これは常にやってきたことですが、会社を持つことで、これは必要で、重要で、投資する価値のあるものだという旗印が掲げられるのです。
あなたが対抗しようとしている脅威と、誰を守ろうとしているのか、もう少し詳しく教えてください。なぜこのような人々が一般市民よりもリスクが高く、標的になりやすいのでしょうか?
私は最近、人々を「ハイリスク」と呼ぶのをやめ、「リスクにさらされている」とだけ話すようにしています。その方が一部の人にとって理解しやすく、共感しやすいことに気づきました。最近のロー対ウェイド判決の覆しが良い例です。多くの人が突然「リスクにさらされている」状態になりましたが、必ずしもハイリスクになったわけではありません。私はこれまで、ニュースルームや記者のセキュリティに注力してきましたが(今でもそれが私の情熱の源です)、最終的に私が提供するガイダンスは、やりたいことを安全にやろうとしているすべての人にとって役立つガイダンスです。どんな行動をとろうとも、何らかの影響が出る可能性があるカテゴリーに自分が属しているのであれば、それは私にとって「リスクにさらされている」状態であり、私が支援できるものです。
私の目標は、お客様が安全に作業し、あらゆる作業を安全に行えるよう支援することです。そのためには、お客様が認識しているあらゆる脅威について話し合い、考慮に入れる必要があります。お客様に最適なプランをご提案します。これは状況に応じて、お客様とその時点で取り組んでいる作業に最適な緩和策をご提案することになります。NSO(National Office of Service)型のスパイウェア、フィッシング、あるいは旅行中にノートパソコンを紛失するのではないかと心配されている場合でも、リスク、課題、そしてお客様にとって最適な対策についてご相談し、お客様にとって最適なプランをご提案いたします。
これは、あなたとクライアントの間で非常に協力的なプロセスであるように聞こえます。つまり、技術と教育が融合し、脅威モデル化によってクライアントに何をすべきか、何をすべきでないかを指導し、どのようなリスクに直面する可能性があるかを判断するということですね。
Tails(高度にセキュリティ保護されたオペレーティングシステム)と永続ボリュームを搭載したラップトップで作業し、Torのみを使用するべきだとアドバイスすることもできます。しかし、別のブラウザに移行することさえ抵抗があるなら、その例えは的外れです。確かにセキュリティの観点からは良い選択肢ですが、個人のワークフローやライフスタイルに合わない場合は、有効なアドバイスとは言えません。場合によっては、より安全に作業できるように、実際に何が自分にとって効果的かを見極めることが肝心です。
脅威は、リスクのある個人の活動内容によって大きく異なり、一人ひとりの脅威モデルも、唯一無二とまでは言えないまでも、それぞれ異なります。こうした連携は、各個人にとって効果的なもの、そして脅威モデルの一部として何が必要なのかを見つけるために、どのように機能するのでしょうか?
きっとこの投稿を見たことはあるでしょう。「あなたの脅威モデルは私の脅威モデルとは違う」。これは本当に素晴らしい内容で、何度も共有する価値があります。支援が必要な方に直接連絡を取る場合もありますが、場合によっては、支援が必要な方と、編集者やセキュリティ担当者、弁護士など、1~2名の方と連絡を取り合うこともあります。その場合は、その方個人に非常に具体的な内容となります。また、ニュースルームをサポートするビジネス側のチームと話し合い、全員にどのようなガイダンスを提供するかを検討していくこともあります。誰もが知っておくべき、日常的なセキュリティガイダンスとは何でしょうか?そして、組織のセキュリティレベルをベースラインとして設定し、毎年レベルアップしていく方法を見つけ出すことができます。さらに、これまで直面してきた課題を正確に把握し、より複雑で高度な脅威はどのようなものか、そしてどのように対処していくのかを把握する必要があります。ご質問の件ですが、セキュリティガイダンス、特に状況に応じたセキュリティガイダンスは、拡張が非常に困難、あるいは不可能と言えるでしょう。ある時点で、人々が互いに話し合うように投資する必要があると思います。
攻撃が新たな能力によってますます巧妙かつ複雑化していることは、皆さんも私もご存知でしょう。今日、あなたにとって何よりも懸念されるサイバーセキュリティ上の問題は何ですか?
5月に私はParanoia 2022で「メディアはどのようにハッキングされるか」と題した講演を行いました。記者がどのようにハッキングされるかではなく(よくある詐欺やフィッシングから、国家が支援するスパイウェアやゼロクリック攻撃まで、あらゆるハッキング事例について話すことができるため)、メディア組織がどのようにハッキングされるかについて、講演の中でいくつかの例を挙げました。2012年にニューヨーク・タイムズが中国にハッキングされたのはフィッシングでした。2018年にトリビューン・パブリッシングがランサムウェア被害に遭いましたが、これもフィッシングか旧式のシステムが原因でした。ダーグブラーデット(ノルウェーの新聞)とシブステッド(ノルウェーのメディア大手)では、認証情報のダンプを発見した人物がシステムにそれを試してみたところ、2要素認証が実施されておらず、アクセスに成功したという問題がありました。そして最後に、アメディア(ノルウェーの新聞)が再びランサムウェア被害に遭いましたが、これもフィッシングか旧式のシステムでした。
これらすべてに対処する方法はわかっています。では、何が起こっているのでしょうか?興味深いことに、結局のところ、ベストプラクティスはわかっているのに、なぜそれを実行するのがこんなに難しいのでしょうか?この点について、もっと議論を深める必要があります。様々な組織のリーダーは、日々、何に重点を置くべきか、何に投資すべきか、どこに資金を投入すべきか、そしてその時点でどのようなリスクを受け入れるべきかについて、選択を迫られています。しかし、フィッシングや二要素認証の欠如といった根本的な問題によって組織が侵害されるという結果になれば、私たちは本当に正しいことを優先しているのだろうかという疑問が湧いてきます。
最後に、もしすべての人が知っておくべきセキュリティに関する重要なアドバイスを一つ挙げるとしたら、何でしょうか?
二要素認証をオンにしてください。
