インドで警察職員と警察官志願者の数千人分に及ぶ個人情報がオンラインに流出した。その情報には指紋のほか、顔のスキャン画像や署名、身体にあるタトゥーや傷跡の詳細などが含まれている。
これだけでも十分に憂慮すべきことだろう。ところが、あろうことか同時期にメッセージアプリ「Telegram」上において、流出した個人情報と似たようなインド警察の生体認証データの販売をサイバー犯罪者が宣伝し始めたのである。
セキュリティ研究者のジェレマイア・ファウラーが、インドとオーストラリア、米国にオフィスを構えるIT開発受託企業のThoughtGreen Technologiesに属する無防備なウェブサーバーに機密ファイルを発見したのは、今年4月のことだった。
計500GB近くあった160万件の文書は、教師、鉄道職員、警察官の配慮を要する個人情報の宝庫だった。そこには2021年からファウラーが4月上旬にデータを発見するまでの期間の出生証明書や卒業証明書、教育履修証明書、就職願書なども含まれていたのである。
発見した内容を『WIRED』に独占的に共有してくれたファウラーによると、情報の山のなかで最も憂慮されたことは、インドの警察や軍の関係者に関連する本人確認のためとおぼしきデータの存在だった。誤って設定されたサーバーはすでに閉鎖されている。
それでも今回の事件は、企業が指紋や顔画像といった生体認証データを収集・保存することのリスク、さらにはデータが誤って流出した場合に悪用される危険性を浮き彫りにした。
「名前や銀行の情報は変更できますが、生体認証情報は変更できません」と、ファウラーは語る。情報サイト「Website Planet」を通じて今回の発見内容を発表したファウラーは、この種のデータはサイバー犯罪者や詐欺師が将来的に人々を標的にする目的で使われる可能性があり、情報の慎重な扱いが求められる警察職員の立場ではリスクが高まると指摘する。
すでに犯罪者がオンラインで販売か
ファウラーが調べたデータベースの中には、複数のモバイルアプリケーションとインストールファイルがあった。ひとつは「顔認証ソフトウェアのインストール」というタイトルで、別のフォルダには8GB相当もの顔のデータが含まれる。人の顔の写真には、顔認識システムで顔の点と点の間の距離を測定する目的でよく使われる、コンピューターで生成された長方形が含まれていた。
また、警察職員の「身体能力テスト」とラベル付けされた文書が28万4,535件あったという。このほか警察官の就職願書やプロフィール写真、さらには「鼻のほくろ」や「あごの切り傷」といった本人確認に用いられる書類などのファイルがあった。少なくとも1枚の画像には、自身の写真が添付された書類を手にする人物が写っている。「最初に見たのは何千という数の指紋でした」とファウラーは言う。
インドのデジタル権利団体「Internet Freedom Foundation」でエグゼクティブ・ディレクターを務めるプラティーク・ワグレは、インド全土で「膨大」な生体認証データが収集されているが、警察関係者にはより高いセキュリティ上のリスクが存在すると指摘する。
「多くの場合、政府職員や警官も生体認証システムを使って本人確認をしています」と、ワグレは言う。「もしそれが侵害される可能性があれば、誰かが悪用し、本来はアクセスできないはずの情報にアクセスできるようになります」
警察職員の生体認証情報の一部は、すでにオンラインで共有されている可能性があるようだ。暴露されたデータベースが閉鎖された後にファウラーは、特定の個人を含むインド警察のデータを販売するという数百人のメンバーで構成されるTelegramのチャンネルを見つけたと語る。
「データの構造やスクリーンショット、そしていくつかのフォルダー名は、わたしが見たものと一致していました」と、ファウラーは言う。しかし、犯罪者が販売するデータを彼は倫理上の理由で購入しなかったことから、それが完全に同じデータであると検証することはできなかった。
ThoughtGreen Technologiesは、「わたしたちはデータセキュリティを非常に重要視しており、暴露されたデータを保護するために直ちに措置を講じました」と『WIRED』からの問い合わせにメールで返答している。「データは機密扱いなので、具体的な内容についてコメントすることはできません。しかし、このような事件が二度と起こらないよう、今回の件を徹底的に調査していることは保証します」
その後のメッセージでThoughtGreen Technologiesは、今回の事件に関してインドの捜査当局に「苦情を申し立てた」と説明したが、どの組織に宛てたものかは明らかにしなかった。また、インド警察の生体認証データを売るというTelegramの投稿のスクリーンショットを見せられると、それは「わたしたちのデータではありません」との返答があった。Telegramはコメントの要請に応じていない。
高まる悪用のリスク
インドの独立系研究者であるシヴァンギ・ナラヤンは、国内のデータ保護法をより強固なものにしたうえで、企業や組織は人々のデータの扱いにより細心の注意を払う必要があると指摘する。「インドでは多くのデータが収集されていますが、その適切な保存方法については誰も気にかけていません」と、ナラヤンは言う。
そしてデータ漏洩はごく頻繁に起きており、人々も「驚かなくなっている」とナラヤンは指摘する。あるサイバーセキュリティ企業は5月上旬、インド警察のある部隊で顔認識データの流出があり、そこには警察関係者と容疑者の情報が含まれていたと発表した。
しかし、問題はもっと幅広い。世界中の政府や企業、その他の組織が、本人確認や監視技術の一環として生体認証データを収集することにますます依存するようになっていることで、情報がオンライン上に流出して悪用されるリスクが高まっているのだ。例えばオーストラリアでは、最大100万人に影響を及ぼした顔認証情報の流出事件により、ある人物が恐喝容疑で起訴されている。
「とても多くの国が本人確認に用いる生体認証に注目していますが、その情報はすべてどこかに保存しなければなりません」と、ファウラーは語る。「第三者の企業や民間企業に委託すれば、そのデータを制御できなくなります。そしてデータ漏洩が起きれば最悪の状況になってしまいます」
(Originally published on wired.com, edited by Daisuke Takimoto)
※『WIRED』による生体認証の関連記事はこちら。セキュリティの関連記事はこちら。
雑誌『WIRED』日本版 VOL.53
「Spatial × Computing」6月25日発売!
実空間とデジタル情報をシームレスに統合することで、情報をインタラクティブに制御できる「体験空間」を生み出す技術。または、あらゆるクリエイティビティに2次元(2D)から3次元(3D)へのパラダイムシフトを要請するトリガー。あるいは、ヒトと空間の間に“コンピューター”が介在することによって拡がる、すべての可能性──。それが『WIRED』日本版が考える「空間コンピューティング」の“フレーム”。情報や体験が「スクリーン(2D)」から「空間(3D)」へと拡がることで(つまり「新しいメディアの発生」によって)、個人や社会は、今後、いかなる変容と向き合うことになるのか。その可能性を、総力を挙げて探る! 詳細はこちら。