- The Atlanticの編集長は、2025年3月15日にイエメン国内のフーシ派標的への空爆の約2時間前、Signalのグループチャットで攻撃計画を受け取り、メッセージには兵器・標的・時間の情報が含まれていた
- 「Houthi PC small group」には、Michael Waltz、Pete Hegseth、JD Vance、Marco Rubio、John Ratcliffeなどと識別されるアカウントが参加し、国家安全保障の高官による議論が続けられていた
- 会話には、Suezの貿易比率、欧州の負担、原油価格上昇の可能性、作戦保全、フーシ派の対応時期といった政策判断と、予定された軍事作戦の情報があわせて含まれていた
- National Security Councilの報道官は、このSignal上の会話は本物に見えると答え、意図しない番号がどのように追加されたのかを確認中だと明らかにした
- Signalは機密共有のために承認されたチャネルではなく、消えるメッセージ設定は連邦記録法の問題まで生じさせ得るため、セキュリティと記録保存の両面で論争が起きた
Signalのグループチャットに誤って招待されたThe Atlantic編集長
- 2025年3月11日、The Atlanticの編集長はSignalで「Michael Waltz」と表示されたユーザーから接続リクエストを受けた
- Signalは、記者などより高いプライバシー保護を必要とする人々が使うオープンソースの暗号化メッセージングサービスとして紹介されている
- 彼は、それが本物の国家安全保障担当補佐官Michael Waltzである可能性と、記者を罠にはめようとする偽装アカウントである可能性の両方を考えた
- 3月13日午後4時28分、「Houthi PC small group」というSignalのグループチャットに追加されたという通知を受けた
- 「Michael Waltz」アカウントは、フーシ派関連の調整のための「principles group」を作るとして、今後72時間と週末の各チームの連絡担当者を求めた
グループチャットの構成と高官参加の状況
- 「principals committee」は通常、国防長官、国務長官、財務長官、CIA長官などの国家安全保障分野の最高幹部グループを指す
- 会話では、複数のアカウントが各省庁または組織の担当者を指定していた
- 「MAR」はState担当としてMike Needhamを指定
- 「JD Vance」はVP担当としてAndy Bakerを指定
- 「TG」はDNI担当としてJoe Kentを指定
- 「Scott B」はTreasury担当としてDan Katzを指定
- 「Pete Hegseth」はDoD担当としてDan Caldwellを指定
- 「John Ratcliffe」はCIA関係者の名前を挙げたが、その名前は現職の情報要員であるため公開されていない
- グループチャットには計18人が表示され、National Security Council関係者、Steve Witkoff、Susie Wiles、「S M」などが含まれていた
- 編集長は自分の画面では「JG」と表示されており、他の参加者が彼の存在に気づいた形跡はなかった
空爆前の政策議論と作戦情報
- 3月14日午前、「Michael Waltz」アカウントは、大統領の指示に基づく結論と課題がhigh sideの受信箱に届いているはずだと伝えた
- 「high side」は政府用語で、機密コンピュータ・通信システムを意味する
- StateとDODが地域の同盟国およびパートナーへの通知リストを作成し、Joint Staffが今後の予定のより具体的な順序を送るとした
- 「JD Vance」アカウントは、空爆推進に懸念を示した
- 米国貿易の3%がSuezを通過し、欧州貿易の40%がSuezを通過すると書いた
- 世論が必要性を理解しないリスクと、原油価格が中程度から深刻な水準まで上がるリスクに言及した
- 1か月延期してメッセージングを行い、経済状況を見るという理屈もあるとした
- 「Joe Kent」と表示されたアカウントは、現在の予定には時間的切迫性がなく、1か月後でも同じ選択肢があると書いた
- 「Pete Hegseth」アカウントは、待てば情報漏えいによって優柔不断に見えるリスクや、Israelが先に動く、あるいはGaza停戦が崩れるリスクを挙げた
- 作戦目的は航行の自由の回復と抑止力の再確立だと整理した
- 中止も可能であり、その場合は作戦保全(OPSEC)を100%守るためにできることはすべて行うと書いた
- 「Michael Waltz」アカウントは、欧州海軍の限定的な能力と貿易規模に触れつつ、時期にかかわらず米国が航路を再び開かなければならないと述べた
- 「JD Vance」アカウントは「また欧州を救済するのは嫌だ」と書き、「Pete Hegseth」アカウントは欧州のただ乗りを「PATHETIC」と表現した
- 「S M」アカウントは、大統領が承認を明確にしており、EgyptとEuropeに対して米国が期待する見返りを明確にすべきだと書いた
3月15日の空爆計画と実際の爆発
- 3月15日午前11時44分、「Pete Hegseth」アカウントが「TEAM UPDATE」を投稿した
- そのメッセージには、イエメンに対する予定空爆の作戦詳細が含まれていた
- 編集長は、この情報が米国の敵対勢力に読まれていたなら、Middle EastおよびCentral Commandの担当地域にいる米軍・情報要員に危害が及び得たと考え、具体的内容は引用しなかった
- 「JD Vance」と表示されたユーザーは勝利を祈ると返信し、他の2人のユーザーは祈りの絵文字を追加した
- Hegsethのメッセージでは最初の爆発は東部時間午後1時45分に予定されており、編集長は午後1時55分ごろにXでイエメンを検索し、サヌア各地で爆発音があったという情報を確認した
- その後Signalの部屋で、「Michael Waltz」は作戦を「amazing job」と評し、「John Ratcliffe」は「A good start」と書いた
- 複数の参加者が祝意のメッセージと絵文字を送り、事後の議論には被害評価と特定人物の死亡可能性も含まれていた
- フーシ派が運営するイエメン保健省は、空爆で少なくとも53人が死亡したと発表したが、その数字は独立には確認されていない
実際の会話確認と政権側の回答
- 編集長は、空爆が実際に起きた後、このSignalグループチャットがほぼ確実に本物だと判断し、チャットから退出した
- Signalのチャットを退出すると、チャット作成者の「Michael Waltz」に自動通知が送られるが、その後誰もなぜ退出したのか、あるいは誰だったのかを尋ねなかった
- 編集長は、Waltz、Hegseth、Ratcliffe、Gabbardらに電子メールとSignalメッセージで質問を送った
- 「Houthi PC small group」が本物のSignalスレッドなのか
- 自分が含まれていた事実を知っていたのか
- 意図的に含めたのか
- そうでないなら、誰だと思っていたのか
- トランプ政権の高官たちが機微な議論にSignalを日常的に使っているのか
- このようなチャネルの使用が米国人員を危険にさらし得ると考えるか
- National Security Councilの報道官Brian Hughesは、約2時間後、そのメッセージの連なりは本物に見えると返答した
- 意図しない番号がどのように追加されたのかを確認中だと述べた
- そのスレッドは高官たちによる深く慎重な政策調整を示しているとした
- フーシ派作戦の継続的成功は、兵員や国家安全保障への脅威がなかったことを示しているとした
- Vance報道官のWilliam Martinは、副大統領は大統領と完全に同じ立場だと答えた
- 副大統領の最優先課題は、大統領補佐官たちが内部議論の実質を十分に報告できるようにすることだとした
- Vanceは政権の外交政策を明確に支持しているとした
Signal利用が生んだセキュリティ・法的問題
- 国家安全保障関係者がSignalを使うこと自体は珍しくないが、主に会議日程や物流のような日常的事項に使われると整理されている
- 実行前の軍事行動について詳細で機微な議論を商用メッセージングアプリで行うのは、通常の利用範囲を外れている
- Shane Harrisが取材した複数の国家安全保障法専門家は、高位の米政府当局者が現役の軍事作戦情報を閣僚級関係者と共有するためにSignalスレッドを作るという前提自体に問題があるとみている
- 現役作戦情報は「national defense」情報の定義に入る可能性がある
- Signalは機密情報共有のために政府承認を受けたアプリではない
- 軍事活動の議論はSCIFのような特殊施設、または承認された政府機器上で行うべきだ
- 一部の高官は情報の機密解除権限を持つことがあり得るが、法律家たちは、Signalはそのような機微情報を共有する場所として承認されていないため、その理屈は弱いとみている
- Waltzが一部のSignalメッセージを1週間後または4週間後に消えるよう設定していた点は、記録保存の問題を生んだ
- メリーランド大学教授で元National Archives and Records Administration訴訟責任者のJason R. Baronは、政府職員がSignalのような電子メッセージングアプリを公務に使うなら、メッセージを直ちに正式な政府アカウントに転送または複写しなければならないと述べた
- 元米政府当局者らは、海外出張中に政府システムへのアクセスが難しい場合、Signalで非機密情報や日常的事項を議論したことはあるが、機密または機微情報は共有しなかったと述べた
- 記者が誤ってprincipals committeeの会話に追加されたことで、承認されていない受信者に情報が送られる漏えいの問題が発生した
- Hegsethは予定されていたフーシ派標的への攻撃内容を書きながら「We are currently clean on OPSEC」と記していたが、その時点でチャットには編集長が含まれていた
1件のコメント
Hacker News のコメント
米国外にいる立場だが、ここや他の場所で見られる責任の不在をめぐる空気が非常に懸念される
南アジアで育ちながら見てきたもの、そして今も見ているものを思い出す。米国でもオーバートンの窓が動いており、特に腐敗行為に関する規範や期待が微妙に変わりつつあるように見える
どの国にも、友人同士でちょっとした頼み事をし合うような小さな腐敗はあり、そうしたものには物事を回す柔軟性もあるので、完全になくすのは難しいと思う。だが、権力者が好き勝手に振る舞い、自分の利益を得るのが当然だという方向へ規範が移っていくと、起業家精神には致命的だ
人々が血と汗で作り上げたものを権力者が欲しがり、奪ってもよいと信じるようになると、何かを作ろうとする人は、一生をかけた仕事を別の場所でやるべきか考えるようになる。こうした考え方が規範になると、根絶するのは非常に難しい
AIが巨大企業に所有され、最上層の腐敗まで重なって、権威主義的な環境でスタートアップを作る目的が曖昧になっている
TrumpがElonの会社をヤードセールのように違法に宣伝し、Citizens Unitedのおかげで選挙キャンペーンに数百万ドルを寄付したことに対して足元に口づけし、選挙で選ばれてもいない公職者ですらない人物に連邦政府をあさり回らせ、怒った人々による器物損壊を国内テロに仕立て、今度はElonにSignalgateの調査まで任せるという状況だ。人々はいま立ち上がるべきだ。後ではできないかもしれない
機密環境で政府の衛星プログラムに携わるところからキャリアを始めた
入社1週目に、承認されていないチャネルで機密情報または管理対象の非機密情報を共有すれば、懲戒処分、おそらく解雇、まれには起訴もあり得ると明確に聞かされた
他人の不注意から国家機密を守ることも自分の責任だと教わった。ところが、そのスレッドには18人がいたのに、この議論はSCIFで行うべきだと誰も言わなかったというのが信じられない。そもそもSecDefがSignalでスレッドを始めたことは言うまでもない
いま政府の最高層では、こうしたスレッドが他にどれだけ回っているのだろうか。中国の情報機関は把握しているのだろうか。関係者の処罰や起訴まで主張するつもりはないが、このような漏えいが責任・結果・運用上の変更なしに見過ごされるのは受け入れられない
まだ遅くないので、その道化集団全体を弾劾すべきだ
実際のテーマの衝撃はいったん脇に置いて、Hacker Newsらしい話題に引き戻すという難しいことをしてみるなら、国家安全保障チーム内にJeffrey Goldbergという人物がいて、その人を追加しようとしたのではないかと思う
名前の組み合わせもよくありそうだし、まさか The Atlanticの編集長 を入れようとしたわけではないはず。SignalのUI/UXの問題という可能性もあるのだろうか?連絡先リストにいる2人のJeffrey Goldbergを区別できなかったとか
Androidで確認してみると、グループチャットに誰かを追加しようとすると名前とプロフィール写真が表示される
ただしSignal側の微妙な点が一つあって、自分の連絡先にはなくても、自分と同じ別のチャットルームにいる人をグループに追加できるということ。数年前の夕食会で一緒だった見知らぬ人たちも、グループチャットに追加可能だと表示される。Jeffrey GoldbergがSignalのプロフィール名をJGにしていて、Mike Waltzのスマホにもっと具体的な名前で保存されていなかったなら、こういうミスは起こり得る
本当に問題なのは2つ。第一に、TPMのJosh Marshallが指摘したように、そのチャットで誰も「なぜこれをSignalでやっているんだ?」と尋ねなかった点。これはSignalが非公式業務に初めて使われたわけではなく、似たような会話が多数ある可能性を示唆している
第二に、会話が作られた時点で参加者の1人がPutinに会うためKremlinで待機中だった点。つまり「Kremlin Free WiFi」だったか、現地の基地局経由で接続していたということになる
多くの論者は、この政権がFOIAと証拠開示の範囲外に置こうとしているのだと見ており、それ自体も大きな問題だ。政府の通信ツールならこうした問題はなく、Microsoft Teamsの米国クラウドでさえこれより保護はまし
まるで1996年に電話回線でGeoCitiesのSonic the HedgehogファンページをGIF1枚ずつ苦労して読み込んでいるようだ。こういうことは携帯電話でだけ起き、PCでは起きない
もちろんだからといって、チャット参加者の身元を確認しなかった失敗、検証されていなかった可能性の高いアプリを検証されていなかった可能性の高い個人端末で使った選択、地球の反対側への空爆命令権を持つ人なら当然知っているべき基本的な作戦保全規則への違反が正当化されるわけではない
むしろJeff Goldbergがこの情報源を潰してしまったことが少し意外
チャンネルをできるだけ長く開けておくと思っていた。あるいは、もっとよく機能する別のチャンネルがあるのかもしれない
いずれにせよ本当にあきれる。この人たちはただの間抜けで、他に表現のしようがない。好意的に解釈する方法を考えてみても何もない。彼らの愚かさのせいで軍務に就く人々が死ぬことになるのはあまりにも明らか
複雑な問題であり、機密情報を情報源から受け取ること自体が本質的に犯罪だという意味ではないが、検察が突きつける事実関係全体はそのように構成され得る
なので今後さらに多くの情報を得られた可能性は低い。ここでの核心的な記事は、Goldbergがチャットに含まれていたという事実であり、彼に明かされた具体的な詳細ではなかった。彼はそのかなりの部分を公開しなかった
そして間抜けどもだという評価には同意する
彼は最初の攻撃までは、これが本物かどうか確信できなかったと繰り返し述べている。最初の攻撃後には、その主張を続けることはできなかった
Steve Witkoff はロシアにいる間、そのチャットに参加していた
Signal には、QR コードをスキャンするだけでメッセージを複製できるリンク済みデバイスを設定できる脆弱性がある。ロシアのハッカーが使う手口として知られている
モスクワにいた Witkoff をロシアがだまして QR コードをスキャンさせた可能性はどのくらいあるだろうか?
それを脆弱性と呼ぶなら、海外のサーバーから未確認の公開鍵を受け取って誰かとチャットできる基本的な使い方も脆弱性だ。誰もがそう使っているし、このチャットの参加者たちも別チャネルで鍵交換をしていなかったのだから、明らかにそうだったはずだ
さらに、携帯電話のストレージをコピーして鍵素材を別のデバイスに移し、好きなように使えるという「脆弱性」もある。ハードウェアによって難易度は変わるが、資金が十分にある保安機関なら、一般的なデバイスでは可能だと思う
[1] “Putin gave Trump portrait to envoy, Kremlin confirms” - https://thehill.com/policy/international/5212691-putin-trump...
[2] https://en.wikipedia.org/wiki/The_Thing_(listening_device)
この偽善は、以前一緒に働いていたリード開発者を思い出させる
彼はチーム全員に、mainline にマージする前に複数人のコードレビューを受け、広範な CI を通過するよう求めていた
ところが本人は、半分くらいはレビューなしで自分の変更を直接承認し、残りの半分は強制 push で CI システムを丸ごと迂回していた。システムをよく理解していてローカルテストも十分にしていたので大きな障害は避けられたようだが、自分が従うつもりのないルールやポリシーをなぜ大量に作るのか分からない
こういうポリシーには常にコストと利益がある。そのリード開発者は、自分には費用対効果が合わず、他の人たちには合うと判断したのだろう。実際、その判断が正しかった可能性もある
こうした権力行使を倫理や道徳のレンズで見ようとしてはいけない。核心は、ルールで敵を縛り罰し、友人たちだけはルールを破っても逃れられるようにすることだ。メディア支配と歪められたナラティブを利用し、大衆の間で法の支配が尊重される概念として崩れていくのを利用すればよい
彼が責任を他に転嫁できないなら、問題だとは思わない
一部の 10x 開発者も同じだ。ルールが本人には適用されないから速いのだ。一方でルールは他の全員を遅くし、当然ながら彼はより速く見える。そして彼らが雑に処理すると、残りの人たちが後始末をすることになる
少なくとも二つの解釈が可能だと思う
a) 意図しない作戦保全上の失敗。意図していた別のユーザーとアドレス帳の衝突があったか、押し間違えた可能性がある。こちらのほうがもっともらしい
b) 意図的なリーク。チャンネルのメンバーの一人以上が、不明な目的のために露骨に、あるいは密かに流した可能性がある。ただし、より少ない逆風でリークするもっとよい方法があるので、可能性は低そう
Signalを使ったこと自体は作戦保全が悪いように見えるが、現政権の作業グループが公式のセキュアなチャンネルを信頼せず、自分たちが国内または外国の機関に監視されていると想定していた可能性もある。状況からすると非常にあり得る
そうだとしても依然として作戦保全上の失敗ではあり得るが、敵対的だと知られている機関にセキュリティを任せるよりは、まだましなリスクだったのかもしれない。ここでは、こうした調整は公式の政府チャンネルで行われるべきだという前提が強いが、「政府」が必ずしも同じ目標に向かう一つの統合された集団とは限らない。自分のチーム内の工作員が目標を妨害していると強く疑うなら、当然代替チャンネルを検討すべきだ
それがClintonのメールサーバーのように法的制限や透明性を避けるためであれ、妨害工作を避けるためであれ、倫理を判断するのではなく、本当に安全な通信の必要性を考えてみようということ。Signalへの信頼は正当なのか? これは、最高レベルのセキュリティクリアランスを持つ人々がSignalは侵害されていないと信じているという意味だ。彼らは正しいのだろうか? いずれにせよ、バックドア以外にも作戦保全が失敗する方法はたくさんある
まず、機密情報はSCIFでのみ閲覧すべきだ。第二に、絶対に個人端末に載せてはならない。国家安全保障指導部の個人スマホは、世界中の敵対的な情報機関にとって最優先の標的だ。ホスト端末が侵害されていれば、転送中の暗号化には大きな意味がない
米国政府のあらゆる機密ツールや保護策を信じられないと言いながら、商用携帯電話の商用アプリで、米国内外の公開された場所から機密データをやり取りするのは、愚か者でなければできないことだ。権限のない人を誤ってチャットに追加できるという事実だけでも、この選択が正気ではなかったことを示している
「イデオロギー的に汚染されたSCIF」を18台の別々のiOS端末に置き換えたということだが、その18台はすべて異なるOS/アプリのバージョンや端末状態だったはずだ
エンドツーエンド暗号化とSignalを突破したいなら、まさに彼らがやった方法でやればいい。だからといって彼らが正しかったわけではない
公職者の審議は機密である必要があるかもしれないが、必ず記録されなければならない。消えるメッセージで会話記録を自動削除するなら、それは大衆に対する一種の詐欺だ
https://en.wikipedia.org/wiki/German_Taurus_leakを思い出す
「標準的な商用Cisco Webexビデオ会議ソフトウェアで行われた会話で、関係者らはUkraine内の英国・米国軍兵力の存在や、TaurusミサイルでCrimean Bridgeを爆破する可能性などを議論した」
もちろん、そのチャンネルが承認されるべきでなかった可能性はあるが、いずれにせよ承認されたチャンネルだった