2025年に私たちが最初に壊しておけばよかったと願ったサイバーセキュリティ調査

年の締めくくりとして、業界の編集者たちが表紙に取り上げたかったストーリーを紹介し、調査型サイバーセキュリティの仕事にスポットライトを当てるのにこれ以上のタイミングはありません。2025年のデジタルセキュリティの風景は、政府の監視過剰を暴露し、多数のサイバー犯罪者を追跡し、最高権力層の重大なセキュリティ失敗を明らかにした卓越した報道によって特徴付けられました。今年はサイバーセキュリティ、プライバシー、監視の脅威を取り上げる才能あるジャーナリストが数多く活躍しましたが、その中でも特に目立ったのは、決定的な報道が何を明らかにできるかを示す例です。ここに、私たちの最も強い関心を引きつけ、そして自分たちが未だ発見できなかったことに少し嫉妬した調査報告を紹介します。

記者の個人的なイランのエリートハッキング作戦への旅路

一部のサイバーセキュリティの物語はスリラーのように読めるものであり、Shane HarrisのThe Atlanticの記事はまさにそのクラスです。Harrisは数ヶ月にわたり、イランの情報機関で働くと主張するハッカーと名乗る人物とやり取りを続けました。情報源は、アメリカのドローン撃墜や、イランの工作員が企業のシステムを破壊したサウジアラムコ攻撃などの大規模サイバー作戦に関与したと述べました。

Harrisの報道の特筆すべき点は、アクセスの良さだけではなく、懐疑的な見方や検証過程、そして最終的に情報源の悲劇的な死を記録する意欲にあります。彼は連絡先が亡くなった後に真実の物語を組み立て、情報源が最初に明かした内容よりもはるかに複雑なストーリーを明らかにしました。この作品は、サイバーセキュリティジャーナリストが敏感な情報源を育て、職業のリスクを乗り越える方法を理解したい人にとって必読です。

秘密の英国裁判所命令がAppleに暗号化のバックドア構築をほぼ強制しそうになった話

1月、監視と暗号化の議論において画期的な瞬間がほとんど注目されずに過ぎ去ろうとしていました。The Washington Postの独占報道は、英国政府が秘密裏に裁判所命令を出し、AppleにiCloudのバックドアを構築させ、警察が世界中の暗号化されたデータにアクセスできるようにしたことを暴露しました。世界的なガグオーダーにより、この要求は永遠に隠されたままでしたが、Postがこのストーリーを報じたことで状況が一変しました。

これは、主要なテック企業が10年以上かけて築き上げた設計思想である「暗号化設計」に対する前例のない挑戦でした。Appleの対応は明白で、同社は英国でのオプションのエンドツーエンド暗号化サービスを中止しましたが、これにより、米英間の外交的緊張が数か月にわたり高まり、最終的には一時的に英国の要請を撤回させる結果となりました。このケースは、現代における監視権力の運用を示す重要な試金石となりました。

トランプ政権の戦争ルームが誤ってジャーナリストに計画をSMS送信

The Atlanticの編集部は、誤ってトランプ政権の高官たちが議論していた軍事作戦についてのSignalグループに加えられるという事態に直面しました。そこでは、ペンタゴンの通信が海外での軍事行動と同時進行で兵器展開について議論している様子がリアルタイムで見られました。

これは単なるセキュリティ侵害ではなく、最近の政府史上最も重大な運用上のセキュリティ失敗とされるものでした。この事件は、偽のSignalクローンに依存したことや、敏感な通信がさらに危険にさらされたことなど、多くの失態の連鎖を明らかにしました。Jeffrey Goldbergの調査は、この出来事の背景と、それが政府のサイバーセキュリティ実践に何を暴露したのかを明らかにし、最高レベルのOPSEC（作戦上の秘密保持）の基本を数か月にわたり検証させました。

インターネットで最も悪名高いハッキング作戦の背後にいる少年サイバー犯罪者を追跡

Brian Krebsの調査実績は、デジタルの足跡を実在のアイデンティティに結びつけることにあり、2025年の報道も例外ではありませんでした。Krebsは、「Rey」と呼ばれるハッカーを追跡し、彼が関与したサイバー犯罪組織「Scattered LAPSUS$ Hunters」の中心人物であることを突き止めました。綿密な調査と情報源の丁寧な開発を経て、彼はハンドルネームの背後にいる実在の人物がヨルダンの少年であることを特定し、その人物との会話も実現させました。

この調査は、個人が組織的なサイバー犯罪に巻き込まれる過程を明らかにし、また、そこから抜け出そうとする人々の姿も示しています。これは、インターネットの闇の部分を取材し、伝説的な地位を築いたジャーナリズムの一例です。

独立系記者が10億件の監視プログラムを停止させた方法

404 Mediaの2025年のインパクトジャーナリズムは、多くの大手メディアを凌駕し、特に重要な成果を挙げました。その一つが、United、American、Delta、Southwest、JetBlueなどの航空会社が所有し、運営するデータブローカー「Airlines Reporting Corporation（ARC）」の存在を暴露したことです。ARCは、50億件以上のフライト記録にアクセスできる状態で、政府機関に販売していました。

このデータには、名前や金融情報、旅行日程などが含まれ、ICEや国務省、IRSなどが令状なしに個人を追跡できる状態にしていました。404 Mediaの数か月にわたる調査は、世論の圧力と立法の関心を高め、最終的にARCは令状なしのプログラムを停止せざるを得なくなりました。このケースは、決意を持った報道が、見えないところで動いている監視インフラを解体できることを示す好例です。

「ゴーストガン」の背後にある技術的現実と法的グレーゾーン

2024年12月のUnitedHealthcareのCEO、Brian Thompsonの殺害事件と、それに続く3Dプリント銃の調査は、「ゴーストガン」と呼ばれるシリアルナンバーのない銃の製造合法性についてのWiredの独自調査を促しました。彼らの3Dプリントと武器の専門知識を駆使し、こうした銃の製造過程と、法的・倫理的な断片的状況を記録しました。

この報告は、映像も交えながら、技術と法執行の課題、規制のギャップについて重要な背景を提供しました。これは、ジャーナリズムを受動的な観察から、出現する脅威を積極的に探求する実践へと押し上げる調査の一例です。

連邦職員の内部告発者が語る政府のデータ漏洩と個人への脅迫

NPRの調査は、政府効率性局（Department of Government Efficiency）に関わる活動だけでなく、連邦の内部告発者が負った個人的な代償も明らかにしました。国立労働関係委員会（NLRB）の上級IT職員は、議会に対し、Dogeのデータアクセスの調査を求めた後、脅迫的な通信が扉に貼り付けられているのを発見したと証言しました。そこには、個人情報や監視写真が含まれていました。

この報道は、政府のデータセキュリティを守ろうとする連邦職員の抵抗と、その中での威嚇に立ち向かう姿を浮き彫りにしました。抽象的なデータガバナンスの議論を、深く個人的なリスクの物語へと変貌させたのです。

電話追跡とヴァチカンの敵を暴露した監視データセット

Mother JonesのGabriel Geigerは、謎の監視作戦から漏洩したデータセットを発見し、2007年から2015年にかけて数千人の電話位置情報追跡を明らかにしました。その中には、元シリアのファーストレディ、民間軍事請負業者の幹部、ハリウッド俳優、ヴァチカンの敵と記録された人物も含まれていました。

このデータセットは、SS7を基盤とした電話監視の能力と範囲を示しており、長らく悪意ある追跡を可能にしてきた、あまり知られていないが強力なプロトコルの実態を明らかにしました。Geigerの調査は、公共の認識の外側で動く位置情報追跡の闇のエコシステムの実態を暴き出しました。

ハッカーがそのスキルを使ってプロのスワッターを追跡

Swattingは、いたずらから実際の脅威へと進化し、実命を奪う事態にまで至っています。WiredのAndy Greenbergは、「Torswats」と呼ばれる多くの学校や緊急通報者を脅迫したスワッターの物語を通じて、このエスカレーションを描きました。彼はまた、Torswatsを追跡したハッカーの活動も紹介し、オンラインの正義感とその人間像を浮き彫りにしました。

この報道は、被害者の通報担当者が実際の脅威と虚偽の通報を見分けるストレスや、学校の管理者が本物の安全対策を講じる必要性を伝え、サイバーセキュリティの脅威がデータ漏洩だけでなく、物理的な安全や運営の安全性にまで及ぶことを示しています。