メディア

米国へ旅行した人の個人データが「ダークウェブ」へ流出している件:581st Lap

入出国の手続きで必要になる顔写真や指紋などの生体情報がダークウェブに流出してしまったという。なぜこの問題は起きてしまったのか。被害の全容は――?

» 2020年10月02日 06時00分 公開
[キーマンズネット]

 米国への旅行を経験した人なら、入国する際に指紋の読み取りと顔写真の撮影が義務化されていることは知っているだろう。もしその認証データが「ダークウェブ」に流れていたとしたら……。今、米国では何が起きているのだろうか。

 Tech系サイトMOTHERBOARDが2020年9月25日に報じた記事によれば、米国最大のダークウェブへの生体情報流出が起きているという。

 米国土安全保障省(DHS)は、米国へ入出国する旅行者の生体情報、主に顔画像を収集している。その他にも自動車やナンバープレートの画像といった、個人を特定可能な膨大な量の個人情報を保持している。

 そのデータ量は米国最大規模で、データベースには2億5000万人以上の生体情報データが保存されている。そのデータベースはDHSの他にも税関・国境取締局(CBP)や司法省などとも共有されている。

 このデータは犯罪やテロを未然に防ぐために、容疑者やテロリストを特定するために使われているものだ。だからといってそのデータの、流出が許されるわけではない。この件は以前から流出疑惑が持ち上がっており、それを調査したDHSによって正式に報告されたという。

 報告書によると、データ流出の元凶は、DHSから画像データの収集を委託されていた下請け業者Percepticsだ。同社は、高速道路や国境の検問所といった要所で撮影された人物の顔写真や車両情報などを収集していた。

 Percepticsは、ある過ちを犯した。自社サーバに重要なデータを勝手にコピーしてしまったのだ。本来十分にセキュリティが確保されたDHSのサーバに保管されていたのだが、Percepticsは自社とサーバ間の通信コストを削減するために、定期的にデータを送信していたのだという。もちろん、本来あってはならないオペレーションだ。

 そんな同社を悲劇が襲う。2019年5月、同社は突然、Boris Bullet Dodgerと名乗るハッカー集団からメールを受け取った。メールは「72時間以内に20BTC(ビットコイン)を支払わなければ、盗んだ画像をダークウェブに公開する」というものだ。ちなみに2019年5月は「1BC=5700ドルに回復」というニュースがあったようにビットコインの価値が高額だった。

 それに対して同社は、データを盗まれていないという自信があったのか、もしくは20BTCを支払うのが惜しかったのか、ハッカーへの支払いを拒否した。その結果、画像はダークウェブへ流出してしまったというわけだ。DHSの報告書では、流出画像は約18万4000枚で、そのうち19枚は実際にアップされていたことが確認されている。

 さらに報告書では、画像データが全く暗号化されていなかったことも報告された。「さすがにそれは看過できない」という声も上がったが、コロナ禍において入国制限措置が執られているためか「今後はもう二度と同様の問題が起こらないようにする」という報告に終わり、大きな問題には発展していないようだ。

 報道したMOTHERBOARDは「そのようなデータを収集しないことこそが、問題が二度と起こらない唯一の方法である」と述べている。利用者個人に影響がないような方向で収束してほしい。


上司X

上司X: 米国へ入国した人の顔画像などが「ダークウェブ」に流出してしまった、という話だよ。


ブラックピット

ブラックピット: へー。ダークウェブって、まあ普通の人ならアクセスするのも大変なインターネットの暗部みたいなトコですよね。


上司X

上司X: そこまで難しくはないはずだが……。まあなんというか、近づいちゃいけない街の路地裏的な感じのところだと思うよ。アップされた情報が悪用されないことを祈るばかりだよ。


ブラックピット

ブラックピット: 何に悪用されるか怖いですね! そういえば何年か前にハワイに行ったんですけど、顔写真を撮られるのはともかく指紋までチェックされるってのはちょっと抵抗がありました。しかも担当の人がむちゃくちゃ無愛想で。


上司X

上司X: まあ仕事だしな。俺なんてさ、乾燥した飛行機の中で手指がカッサカサになって、なかなか指紋がスキャンできなくてさ。もう担当の人が怒り心頭なの。指をなめろとかこのジェルをつけろとか。そんなに怒らなくても……と思ったよ。


ブラックピット

ブラックピット: なかなか面倒な経験してますね。


上司X

上司X: そんな与太話はいいとして、ダークウェブへの流出だよ。結局どうやってデータが盗まれたのかは不明ということらしい。もちろんデータを勝手に自社内へコピーしたってのは許されないだろうが、そこのところの理由が分からんとなあ……。


ブラックピット

ブラックピット: 同じことが起こりそうですね。でもまあ、幸か不幸か現在は国をまたいだ移動すら難しい状況じゃないですか。越境どうこうしている間に、まあなんとかなるんじゃないですか?


上司X

上司X: 相変わらず気楽そうでいいな。今回の問題はそれほど大きな波紋を呼ぶことなく終息するような気はする。しかし「うかつに国家機密レベルのデータを盗まれることがないように!」とは重ねて強く言いたいところだな。


川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。