基本的なメールセキュリティ機能を使用している米国大統領候補はわずか

2020年の米国大統領選挙の候補者の中で、メールセキュリティ機能を使用しているのは3分の1しかいないことが判明した。セキュリティ機能を使っていれば、2016年の同選挙で民主党を妨害した攻撃を防げたかもしれない。

ロイターによると、選挙レース中の21人の大統領候補のうち、7人の民主党員だけが電子メールセキュリティプロトコルであるDMARCを使用している。DMARCは送信者の電子メールの信憑性を検証し、本当の送信者から送ったように見せかけるメール（なりすましメール）を受信者側で拒否することができる。ハッカー達は、一見知っている人からのメールと見せかけ、メールに貼り付けた悪意のあるリンクを開くよう仕向けるのだ。

Elizabeth Warren（エリザベス・ウォーレン）氏の陣営のみがメールセキュリティを採用していた4月からすると著しい増加だ。Joe Biden（ジョー・バイデン）氏、Kamala Harris（カマラ・ハリス）氏、Michael Bloomberg（マイケル・ブルームバーグ）氏、Amy Klobuchar（エイミー・クロブチャー）氏、Cory Booker（コーリー・ブッカー）氏、Tulsi Gabbard（トゥルシー・ガバード）氏、Steve Bullock（スティーブ・ブロック）氏の各民主党陣営は電子メールセキュリティを改善した。

現職大統領のDonald Trump（ドナルド・トランプ）氏を含む残りの候補者は、なりすましメールを拒否していない。他の7人の候補者はDMARCをまったく使用していない。専門家によると、彼らのキャンペーンは外国の工作やサイバー攻撃のリスクにさらされている。

「選挙陣営が基本的な体制を整えていない場合、玄関の鍵を開けっぱなしにしているのと同じだ」と、メールセキュリティ会社であるAgariのチーフアイデンティティオフィサーのArmen Najarian（アーメン・ナジャリアン）氏は言う。「選挙陣営がソーシャルエンジニアリングの隠れた攻撃から身を守るためには、なりすましメール拒否の実行ポリシーを設定したメール認証と高度な電子メールセキュリティの両方を設定する必要がある」と同氏は述べる。

緑色は拒否/検疫ポリシーを示し、黄色は対策が施されていないポリシーを示す（画像：TechCrunch）

無料で非常に簡単に実装できるDMARCは、攻撃者が候補者陣営になりすますのを防ぐことができるだけでなく、候補者のネットワークに対する標的型フィッシング攻撃も防ぐことができる。こうした攻撃で民主党は何千もの電子メールを流出させることになった。

2016年の大統領選挙の準備段階で、ロシアのハッカーは、Googleのセキュリティ警告を装ったメールをHillary Clinton（ヒラリー・クリントン）陣営のマネージャーだったJohn Podesta（ジョン・ポデスタ）氏に送信した。このフィッシングメールの存在とメールのキャッシュ（一時保管データ）はWikiLeaksが明らかにした。ポデスタ氏は騙されてメールに添付されていたリンクをクリックした結果、アカウントを乗っ取られてハッカーが何万もの私用メールを盗むことになった。

DMARCポリシーが適切に導入されていれば、ポデスタ氏の受信ボックスに入って来たフィッシングメールを完全に拒否したはずだが、DMARCはあらゆる種類の高度なサイバー攻撃に有効なわけではない。この侵害によって民主党員らは傷を負い、幹部の辞任者を出し、クリントン氏の大統領選挙運動に対する米国民の印象を悪化させた。

「各選挙陣営がこの問題に積極的に取り組んでいないことに困惑している」とナジャリアン氏は述べた。