州議会議員は、米国では非常に人目に触れる公人であり、数十億ドル規模の州予算を策定し、機密性の高い情報を扱い、有権者とやり取りしています。

Protonの新たな調査によると、彼らのメールアドレスとパスワードもまた、容易に見つかる状態にあります。

私たちは1年以上にわたり、世界各国の政治家のサイバーセキュリティ慣行を調査してきました。最新の調査では、米国の州議会議員の67%が、公に掲載されているメールアドレスに関連するデータ侵害の影響を少なくとも1回受けていたことが分かりました。

お住まいの地域の政府関係者のデータがダークウェブ上にあるか確認する

私たちは、49州で公に掲載されているメールアドレスに関連する16,000件超の侵害記録を特定しました。そのうち12,000件超には、個人を特定し、監視し、フィッシング詐欺を仕掛けるために利用され得る個人を特定できる情報(PII)が含まれていました。さらにリスクを高めているのは、560件のパスワードがプレーンテキストで見つかったことです。パスワードがプレーンテキストであれば、ハッカーは議員個人のアカウントにアクセスし、そこから政府の公式アカウントに侵入する足がかりを得る可能性があります。

本レポートでは個人を特定できる情報は共有しておらず、影響を受けたすべての政治家に通知済みです。

情報の露出は外部攻撃ではなく、人為的ミスに起因しています

これらの情報露出は、米国と対立する国家からの標的型攻撃によるものではなく、議員が公務用の政府メールを使ってLinkedIn、Adobe、Dropboxなどのサービスにサインアップしていることに起因しています。こうしたサードパーティサービスでデータ侵害が発生した結果、政府関係者の情報が露出する事態につながっています。

残念ながら、この個人アカウントと業務用アカウントの境界の曖昧化は、現代の職場ではよく見られます。これは、あらゆる業種・規模の企業に深刻な影響を及ぼし得ますが、機密性の高い政府サービスやデータにアクセスできる政治家は、一般市民よりもはるかに高い脅威モデルに直面しています。

「このデータが示しているのは、これは孤立した個別事例というより、デジタルリスクが時間とともにどのように蓄積していくかということです」と、Protonのアカウントセキュリティ責任者であるイーモン・マグワイアは述べています。「オンラインサービスを普通に日常利用するだけでも、長期的な情報露出につながることがあります。公務用のメールアドレスが関わると、そのリスクは個人を超えて、その人が代表する組織にまで及びます。」

2026年3月に公表された、トランプ大統領の米国のためのサイバー戦略(新しいウィンドウ)には、米国政府が「米国へのサイバー脅威を無効化するため、迅速かつ慎重に、そして先手を打って行動する」と記されています。しかし、この取り組みは、自らをサイバー攻撃に対して脆弱な状態にしている議員自身によって損なわれている可能性があります。

州によってオンラインでの行動にはばらつきがあります

州ごとの政府機関では、オンラインセキュリティの慣行に一貫性がないようです。私たちの調査では、49州にわたって幅広い行動の違いが明らかになりました。

  • アリゾナ州とオクラホマ州では、議員の100%が少なくとも1回は侵害データセットに記録されていました
  • マサチューセッツ州では侵害件数の合計が最多の816件で、議員の84%が影響を受けていました
  • ニューハンプシャー州は、漏洩したパスワード数が最も多い州でした(81件)
  • メリーランド州は、侵害が一件も記録されていなかった唯一の州でした
  • 漏えい率が50%未満だったのは、フロリダ、ケンタッキー、メリーランド、ニューハンプシャーの4州のみでした

2つの州で議員の100%が少なくとも一度は侵害データセットに含まれていたという事実は、非常に憂慮すべきことです。州全体の議員がデータ侵害によって脆弱な状態に置かれている場合、その州の住民や公共インフラに深刻な影響が及ぶおそれがあります。米国政府は、ロシア対外情報庁(新しいウィンドウ)(SVR)や中国政府(新しいウィンドウ)による攻撃の標的として、日常的に狙われています。国務省は、イラン、中国、ロシア、北朝鮮、および外国のテロ組織による脅威を特定し、対応するための新たな組織 (新しいウィンドウ)を立ち上げました。

米国政府全体でサイバーセキュリティ基準が十分に適用されていない場合、米国市民は議員の行動によって不当に影響を受けることになります。住んでいる場所だけを理由に、必要不可欠な行政サービスを利用できなくするおそれのあるサイバー攻撃の影響に対して、より脆弱な立場に置かれるべきではありません。侵害が一件も記録されていなかった唯一の州であるメリーランド州の議員は、政府内でより高い基準を求めるうえで、最も有利な立場にあるかもしれません。

現代の脅威に、現代のオンラインセキュリティで対抗する

オンラインでより注意を払うことは、政治的に重要な立場にある人だけのものではありません。誰もがデータ侵害の影響を受ける可能性があり、誰であってもデータ侵害は深刻な結果を招きかねません。重要なのは、侵害を見越して備えることであり、まずはメールアドレスから始めることです。

メールアドレスは、いわばオンライン上のパスポートです。オンラインアカウント、購入履歴、住所、公的身分証明書など、オンラインで行うあらゆることと結び付いています。メールアドレスを使えば個人の特定は容易で、金銭的損失やなりすまし被害につながるおそれのあるフィッシング詐欺の標的にされかねません。さらに、お客様のデータは利益目的でデータブローカーに売られ、そこからさらに多くのサイバー犯罪者がアクセスできるようになる可能性もあります。

現代では現実的な解決策とは言えない、完全にオンラインから離れることを選ぶのではなく、個人情報を保護し、それを提供する場所を減らすことを選べます。

  • メールエイリアスはお客様のメールアドレスを隠すことで、個人情報を一切明かさずにアカウントを作成し、さらにはメールを送受信できるようにします。メールエイリアスがデータ侵害に含まれていても、お客様個人とは結び付いていないため、そこからさらにお客様に関するデータを得ることはできません。単に無効化すればよく、被害を受けずに済みます。メールエイリアスはメールアドレスを守りたい方にとって優れた解決策であり、米国の州議会議員にとっても検討する価値があります。
  • パスワードマネージャーは、パスワードの作成、保存、自動入力に最適なソリューションです。エンドツーエンド暗号化されたパスワードマネージャーなら、個人データにアクセスできるのはお客様だけで、パスワードマネージャーの提供元でさえアクセスできません。必要に応じて認証情報を安全に共有することもでき、リスクを高める安全でない共有方法をなくせます。
  • ダークウェブモニタリングは、個人情報がダークウェブに現れた場合に自動で通知し、有効になっていない2要素認証(2FA)や、脆弱または使い回しのパスワードといったアカウントの弱点も特定できます。

これらすべてのサービスに加え、さらに多くの機能を Proton Pass でご利用いただけます。Proton Mail や Proton VPN を含む、プライバシーを最優先にしたエコシステムを手がけるチームが設計した Proton Pass は、技術的な習熟度や求めるセキュリティ水準を問わず使える、安全なパスワードマネージャーです。

市民の方でも議員の方でも、サインアップして Proton Pass Plus アカウントの利用をご検討ください。