米政府で機密文書を大量誤共有　ホワイトハウス図面も含まれると報道

米紙ワシントン・ポストは日曜日、ドナルド・トランプ前大統領とジョー・バイデン大統領の政権下で、米政府の機密性の高い文書が数千人の職員に不適切に共有されていたと報じました。ホワイトハウスの平面図など、安全保障上の懸念が大きい情報も含まれていたとされ、サイバーセキュリティの甘さが改めて問われています。

何が起きたのか：米政府機関内での「大量誤共有」

報道によると、問題が発生したのは、米連邦政府の総務庁（GSA）です。GSAは、多くの連邦官庁に対して事務・技術支援を行い、政府が所有する不動産の管理も担う機関です。

同庁のキャリア職員が、機密性の高い文書を保存していたGoogleドライブのフォルダーを、誤ってGSAの全職員と共有してしまったとされています。GSAのオンライン名簿によれば、対象となる職員は1万1,200人以上にのぼります。

この「過剰共有」が発覚したことで、先週、サイバーセキュリティ上のインシデントとして正式に報告され、調査が始まったと伝えられています。

どんな機密情報が共有されていたのか

ワシントン・ポストが入手した内部記録によると、このフォルダーには次のような情報が含まれていたとされています。

• ホワイトハウス内の、機密扱いの可能性がある詳細な平面図
• ホワイトハウスのビジターセンターに設置が提案されていた防爆ドアに関する設計情報
• トランプ政権時の記者会見を支援していた業者の銀行口座情報

ホワイトハウスの構造や防爆設備の詳細は、施設の安全性と直結する重要情報です。仮に悪意のある第三者に渡れば、警備体制の弱点を探る手がかりとなりかねません。また、業者の銀行口座情報は金融詐欺のリスクを高める可能性があります。

トランプ政権からバイデン政権まで続く構造的な問題

報道では、この文書共有がトランプ政権とバイデン政権の両方の時期にかかわる内容を含んでいたとされています。つまり、特定の政権や人物に限った問題ではなく、複数の政権期にまたがる「情報管理の構造的な弱さ」が背景にある可能性があります。

デジタル化が進むなか、政権が変わっても職員やシステムは連続して利用され続けます。そのため、一度築かれた情報共有の仕組みや運用ルールに問題があると、それが長期間にわたって引き継がれてしまうリスクがあります。

なぜ「誤共有」が起きるのか：クラウド時代の落とし穴

今回のケースでは、Googleドライブというクラウド型のファイル共有サービスが使われていました。この種のツールは、離れた拠点間でも簡単にファイルを共有できる一方で、権限設定のミスが起きると、一瞬で大量の人に情報が広がってしまいます。

こうした誤共有が起きやすい背景として、次のような要因が考えられます。

• 権限設定の複雑さ：誰にどこまで見せるかを細かく設定する必要があり、ミスが起きやすい。
• 「とりあえず全員に共有」の文化：情報を広く回すことが評価される職場ほど、慎重さが失われやすい。
• セキュリティ教育の不足：機密情報とそうでない情報の線引きが、現場レベルで十分に理解されていない。
• 監査とチェックの限界：組織が大きいほど、すべての共有設定を人手で監視するのは難しい。

GSAのように1万人規模の職員を抱える組織では、ちょっとした設定ミスが、一気に大きなリスクにつながることが今回の事案から見えてきます。

サイバーセキュリティの観点から見たリスク

今回の事案は、いわゆる「ハッキング攻撃」ではなく、内部からの誤操作による情報拡散です。しかし、サイバーセキュリティ上は、こうした内部要因による情報流出も重大なインシデントとして扱われます。

特に懸念されるポイントは、次のような点です。

• 施設の平面図や防爆設備など、物理的な警備と直結する情報が含まれていたこと
• 銀行口座情報など、金融犯罪に悪用されうるデータが含まれていたこと
• 誤って共有された相手が1人や数十人ではなく、1万1,000人超の職員に及んだこと

現時点で、これらの情報が外部に流出したのかどうかについては、報道が伝える範囲を超えるため言及できません。ただ、内部での共有範囲が極端に広がってしまうだけでも、情報のコピーや転送のリスクは大きくなります。

2025年の私たちにとっての教訓

今回の米国の事例は、政府機関に限らず、企業や大学、自治体など、クラウドサービスを使うあらゆる組織に共通する教訓を示しています。日本でもリモートワークやオンライン共同作業が定着した2025年現在、同じようなミスはどこでも起こりうるからです。

組織や個人が今日から見直せるポイントとして、次のような点が挙げられます。

• 共有先のダブルチェック：ファイルを共有する前に、「全員」になっていないか、相手のリストを必ず確認する。
• 機密度のラベリング：機密性の高い資料には、タイトルやフォルダー名で「要注意」であることを明示する。
• 最小限の共有原則：業務に本当に必要な人だけに共有する「最小権限」の考え方を徹底する。
• 定期的な教育：新しいツールを導入した際だけでなく、定期的にセキュリティ研修を行う。

クラウドサービスそのものが危険なのではなく、「便利さ」に慣れることで、基本的な注意が薄れてしまうことが最大のリスクと言えます。

今後の焦点：説明責任と再発防止策

ワシントン・ポストによると、この事案はすでにサイバーセキュリティインシデントとして報告され、調査が進められているとされています。今後の焦点となるのは、主に次のような点でしょう。

• どの範囲の職員が、どの程度まで機密情報にアクセスできていたのか
• 情報が外部に出た形跡があるのか、被害が確認されているのか
• GSAを含む米連邦政府全体で、共有ルールや権限設定をどう見直していくのか

国際ニュースとしてのインパクトはもちろんのこと、デジタル時代の情報管理を考える上で、今回の事案は日本の私たちにとっても他人事ではありません。ニュースをきっかけに、自分の職場やチームのファイル共有ルールを一度振り返ってみるタイミングと言えそうです。

Reference(s):

U.S. officials shared sensitive files with thousands: report

cgtn.com