ナイジェリアのサイバーセキュリティ問題の根深いところ

4月3日、 Website Planetはウェブマッピングプロジェクトを実施していた際、ナイジェリアの州保健機関に属する、セキュリティ保護されていないAWS S3データバケットを発見しました。これらのバケットには、推定3万7000人に関する約7万5000件のエントリ（合計約45GB）が含まれており、機関に登録されている人々の身分証明書や写真も含まれていました。Website Planetによると、バケットの日付は2021年1月で、発見当時は稼働中で更新中でした。

プラトー州拠出型医療管理機関（PLASCHEMA）として知られるこの機関は、2020年9月に同州知事のサイモン・バコ・ラロン氏によって設立され、ナイジェリアのプラトー州の住民に安価で利用しやすい医療を提供することを目的としていた。

Website Planetは4月5日、ナイジェリア当局に連絡を取り、流出したデータバケットについて報告した。しかし、Website Planetによると、データバケットは7月下旬まで稼働状態のままで、セキュリティ保護されていない状態だったという。Website Planetの広報担当者は、データが保護される前に悪意のある人物がデータを発見したかどうかは不明だが、「データがオープン状態のままであればあるほど、悪意のある人物に捕捉される可能性が高くなる」と述べている。バケットで見つかったような個人情報は、なりすましに悪用され、ソーシャルメディアや仮想銀行口座、クレジット口座の開設に利用される可能性がある。

安全対策が不十分なバケットが封鎖されてから数日後の7月23日、PLASCHEMAのファボン・イルダム事務局長は記者会見で、データ漏洩や漏洩を否定した。

残念なことに、この事件はナイジェリアで蔓延しているサイバーセキュリティ問題の典型であり、ナイジェリアでは規制が不十分で、悪質な慣行が横行し、セキュリティ侵害の公表は遅く不十分な場合が多い。

「先進国では多くの組織がサイバー攻撃の事例を報告し、サイバーレジリエンス（回復力）と広範なインシデント対応を促進しています」と、ナイジェリアのセキュリティアナリストで、セキュリティコンサルティング・アドボカシー団体であるサイバーセーフ財団のエグゼクティブディレクターを務めるコンフィデンス・ステイブリー氏は述べている。「しかし、現状を見ると、多くの組織がサイバー攻撃やデータ漏洩の発生を、たとえ否定できない証拠があっても、断固として否定していることがわかります。あるいは、インシデントを極端に軽視しているのです。」

2020年8月、ナイジェリアの大手銀行2行がデータ侵害を受け、顧客の金融情報が流出したと報じられました。両行とも数日後まで反応せず、その後のプレスリリースも曖昧なもので、データ侵害の発生を否定も認めもしませんでした。

今年7月には、ナイジェリアの独立系ジャーナリスト、デイビッド・ハンデイン氏も、ラゴス州政府のメールが不正アクセスされ、闇市場で売買された可能性があると報じた。ラゴス州政府とナイジェリアのサイバーセキュリティ機関は、ハンデイン氏の主張に対し沈黙を守り、侵害疑惑について回答も否定もしなかった。

これらの機関はコミュニケーションを欠いているため、顧客やその他の関係者が自らを守るために必要な情報を提供できず、潜在的な侵害の危険にさらされた人々に実用的なアドバイスを提供できていない。ステイブリー氏は、コミュニケーション不足と多くの不適切なサイバーセキュリティ慣行が、ナイジェリアにおけるサイバーセキュリティとデータ保護を損ない、深刻な信頼と能力の欠如を生み出していると指摘する。

ナイジェリアの多くのITインフラとデータ処理プロセスは、セキュリティと保護を考慮に入れていないと、サイバーセキュリティの立場で様々な銀行や政府機関と協力し、コンサルティングを行ってきたステイブリー氏は指摘する。「組織はデータ収集に伴う重荷さえ理解していません。収集したデータを保護すべきものとして捉えておらず、データパイプラインにおける暗号化とセキュリティを徹底的に検討していません。」

ナイジェリアの国家情報技術開発庁（NITDA）はサイバーセキュリティとデータ保護を担当しており、個人データを処理する組織に対し、データの収集、処理、保管におけるセキュリティの確保、および毎年のデータセキュリティ監査の実施を義務付ける規制とガイドラインを制定しています。2020年データ保護法案では、個人データは「不正または違法な処理や紛失に対するアクセスからの保護を含む、個人データの適切なセキュリティを確保する方法で処理される」べきであると規定されています。

しかし実際には、ナイジェリアにおけるデータ収集と処理はほとんど監視されておらず、保護はしばしば後回しにされています。住所、携帯電話番号、金融情報、さらには身分証明書の番号といった機密データは、行列、ショッピングモール、オフィスの受付などで求められます。こうした場所では、そうしたデータは必要ではなく、多くの場合公開されている記録を確認するだけの好奇心を持つ人なら誰でもアクセスできる状態になっています。「ほとんどの人は自分の個人データの重要性すら認識しておらず、その重要性をわざわざ伝える人もいません」とステイブリー氏は言います。

サイバーセキュリティ専門家の報酬が低く、その仕事に価値が置かれていないことが主な原因で、人材の維持にも問題があります。WIREDが入手したウェブサイト・プラネットとナイジェリアのコンピュータ緊急対応チームの広報担当者との間のメールのやり取りによると、PLASCHEMAには問題を即座に解決するためのアクセスや技術的専門知識が不足していたようです。「組織には、インシデントを迅速に修復するためのアクセスや技術的能力が不足しているようです」と、2022年6月27日付のメールには記されていました。

「今のところ、この国ではサイバーセキュリティは高く評価されていません」と、サイバーセキュリティの専門家であり、ハッカーのストーリーを伝えるなど様々な活動を行っているサイバーセキュリティコミュニティ「Diary of Hackers」の創設者でもあるモーゼス・ジョシュア氏は語る。報酬の問題や、適切なパフォーマンスを発揮するために必要なツールやインセンティブの不足により、サイバーセキュリティの専門家はナイジェリアの企業や組織で働くことが難しい。 

「ナイジェリア企業で働くベテランハッカーを見つけるのは難しい。せいぜい経験を積むためのつなぎとして使われる程度で、サイバーセキュリティの専門家は2、3年の経験を積むとすぐに辞めてしまう。給料が低く、キャリアの見通しがほとんどなく、重要な取引ツールへのアクセスも限られているような会社に留まるのは意味がない」とジョシュア氏は言う。（ステイブリー氏もこの懸念を表明している。）これはサイバーセキュリティ人材の不足につながるだけでなく、同じ問題のより深刻な側面も引き起こしている。つまり、多くの人材が十分な学習期間を与えられないため、業界に関する知識が浅いのだ。つまり、すべての世代がゼロからやり直さなければならないのだ。

この問題は、テクノロジー人材全般に波及しています。近年、リモートワークがますます容認されるようになり、地元企業や組織は、より高い給与とより良いキャリアパスを提供できる大企業との競争を強いられるため、テクノロジー人材の確保が困難になっています。これは特にスタートアップ企業にとって深刻な問題です。しかし、最も大きな影響を受けるのは、ナイジェリアの銀行のように、国際的な見通しがほとんど、あるいは全くない企業や組織です。ナイジェリアの伝統的な銀行は、「大規模なテクノロジー人材の退職」の最前線に立っており、銀行アプリ、メールネットワーク、セキュリティなどのテクノロジーインフラに大きな影響を与えています。

サイバーセキュリティは、ある意味では、費用がかかりすぎることもあります。ナイジェリアの経済不況で生き残りに苦労している企業や組織にとって、セキュリティと適切なデータ保護は、多くの企業にとって手の届かない贅沢品とみなされています。「専門家を雇い、口先だけの対応ではなく、実際にセキュリティを優先するには費用がかかります」とステイブリー氏は言います。「現在の経済状況では、組織にセキュリティと生き残りを選ばせているようなものになることもあります。」

ナイジェリアは、アフリカでも最高水準のサイバーセキュリティとデータ保護政策を掲げていますが、それが実践に移されていません。多くの組織はセキュリティについて口先だけで、積極的かつ積極的にコミュニケーションをとる権威者の不在が、多くの行き過ぎを許しています。

ナイジェリアのサイバーセキュリティおよびデータ保護に関するポリシーは抽象的であり、サイバーセキュリティインシデントは非常に具体的であるため、各インシデントについて判断を下し、メディアに明確に伝達できる人材が必要です。国立情報技術開発庁（NITDA）は、積極的な対応をとっているとは言えません。組織が調査を受け、個人データの漏洩または不正使用の責任を問われた場合、NITDAはデータ漏洩に対して、企業の年間売上高の2%、または1,000万ナイラ（23,647ドル）のいずれか高い方の罰金を科すことができます。しかし、PLASCHEMAの漏洩事件が報道されているにもかかわらず、NITDAは未だプレスリリースを発表しておらず、関係者への情報提供も行いません。また、WIREDの複数回のコメント要請にも回答していません。

ナイジェリアでは、POSや電子取引の急速な普及に伴う特定の抜け穴により、多くの人々が金銭損失につながるようなインシデントの被害に遭う危険性が高まっています。これはナイジェリアにおける最も差し迫ったサイバーセキュリティ問題の一つであり、2020年の金融詐欺の累計60%以上を占めています。しかし、金融当局とサイバーセキュリティ当局の双方が、この問題に未だ対処できていません。

4月には、ナイジェリアの賭博プラットフォームBet9jaがBlakCatによるランサムウェア攻撃を受けました。5月には、ナイジェリアでのサービス開始からわずか数日後に、MoMo Payment Service Bankが情報漏洩に見舞われ、5,300万ドルの損失を被ったと報じられています。同様の事例として、2019年には、ラゴス州内国歳入庁（LIRS）がウェブポータルを通じて個人情報をオンライン上に漏洩したとして告発され、NITDAから100万ナイラの罰金を科されました。Sophosの2022年レポートによると、ナイジェリアの組織の71%が過去1年間にランサムウェアの被害を受けましたが、ナイジェリアで最悪のサイバーセキュリティインシデントの一部は未だに報告されていません。

ナイジェリアのサイバーセキュリティ問題は、公的機関と民間企業の両方に及んでいますが、汚職、対応の遅れ、そして官僚主義が公的機関の問題を悪化させる可能性があります。重要な個人情報を含むデータバケットの設定ミスやセキュリティ保護の不備は、人為的なミスによって起こり得ます。しかし、連絡から対応、そして行動までの期間が長く、そして明らかにコミュニケーションが欠如していることは、ナイジェリア政府機関におけるサイバーセキュリティに対する怠慢な姿勢を反映しています。

ステイブリー氏は「まだ道のりは長い」と語る。