海外における個人情報流出事件とその対応第207回米下院が問題視するP2Pのリスク (1)度重なる国家機密の漏えい

　10月2日付の『Washington Post』をはじめとする複数メディアが、数万人の米兵の個人情報が、権限のないコンピュータユーザにダウンロードされていると報じている。特殊部隊の兵士も被害に遭っている他、中国やパキスタンなどのユーザもデータをダウンロードしている。

　報道はサイバーセキュリティを監視しているTiversaによる情報に基づくもので、P2Pネットワークで、200件の重要な軍に関するファイルを発見したという。中には、兵士の社会保険番号や血液型、携帯電話の番号、e-mailのアドレス、配偶者や子どもの名前、年齢などを含む文書もあった。

　個人情報以外にも、軍の極秘プロジェクト、国防に関する契約や書類だ。この種の文書が明らかになることは、国際武器取引規制(International Traffic in Arms Regulations:ITAR) に違反することになる。ITARは、武器・軍事用品および関連サービスならびに関連技術データの開発、製造および輸出を規制する米国法だ。

　Tiversaが発見した文書の大半は"secret（極秘）"というマークが付いていた。また、軍のさまざまな部署からの情報だった。Tiversaは5月にもパキスタンのサーバで特殊部隊のデータを見つけて、Naval Criminal Investigative Service、Army Criminal Investigation Command、Air Force Office of Special Investigationsに通報した。

　Tiversaは、世界中の大手組織、政府機関に対して、重要な情報や極秘情報を不注意により一般人が利用するコンピュータネットワークへ漏えいするリスク軽減を行う企業だ。本社を米国のペンシルベニア州に置く。4億5,000万人以上のユーザを監視して15億件を超える検索を行い、P2Pインテリジェンス・サービスを提供している。

　情報は米国に敵対する国などが、兵士に対する報復攻撃のために用いる可能性がある他、兵士は個人情報盗難のリスクにも直面する。さらにセキュリティ専門家は、情報を悪用して、兵士を装って、政府のシステムに侵入するためのパスワードなどを不正に取得する可能性も指摘している。

　セキュリティ専門家が特に問題視しているのは、第三特殊部隊（空軍）兵士に関する個人情報だ。この兵士たちが派遣されているのはアフリカとアフガニスタンだ。『Washington Post』ではDefense GroupのJames Mulvenon諜報部長から、「これらの兵士は間違いなく最も深い部分で任務に就いている」として、「文書には家族の氏名や住所があることなどは、兵士にとって悪夢だ」と指摘する。Defense Groupは、調査やシステム、技術アセスメントを通して、市民と国家の安全向上を目指す企業で、退役軍人が所有している。

　特殊部隊のCarol Darbyスポークスパーソンは、『Washington Post』に対して、情報漏えいは事実であることを確認しているが、極端な例だと話している。また、「漏えいに責任のある人物は懲罰を受けた」というが、詳細については明らかにしていない。

　P2Pネットワークは、ピア・ツー・ピア(peer-to-peer)ネットワークのことで、ネットワーク上で対等な関係にある多数の端末（Peer=ピア）を相互に直接接続し、データを送受信する通信方式だ。また、そのような方式を用いて通信して、ファイル交換などを行うソフトウェアやシステム、通信モデルを指す。P2P方式の通信では匿名性があるため、音楽をはじめとする著作権を侵害するコンテンツやデータのやりとりに使用されている他、ユーザのPCの情報が、ユーザが気付かないうちに、漏えいする可能性があるとして、セキュリティ業界などで問題視されている。

●医療情報、大統領専用ヘリの情報も流出

　P2Pネットワークによる情報漏えいの懸念は高まっていて、今年2月にもニューハンプシャー州ハノーバーのダートマス大学タックビジネススクールのEric Johnson教授が数千人分の極秘の医療ファイルや診断や患者への請求の記録、社会保険番号、生年月日などのデータを発見している。Johnson教授のグループはGnutella、FastTrack、Aries、e-donkeyなどのP2Pネットワークを調べていて見つけたというもので、調査の結果、漏えい元は医療検査機関などであったことが分かった。

　また、米国では今年に入ってから、国防に関係するP2Pを通じての漏えいが他にも確認されている。3月には大統領専用ヘリ、Marine Oneの設計図と航空電子工学上の情報がP2P経由で漏えいしているのを、やはりTiversaが発見している。見つけた場所が、イランのテヘランにあるIPアドレスであったために、特に問題とされた。

　調査の結果、メリーランド州ベセスダにある国防総省からの委託を受けていた企業のPCの一台に、ファイル共有プログラムがインストールされていたことが分かった。このPCにMarine Oneの設計図が保管されていたためにP2P、Gnutellaを通じて流出した…

【執筆：バンクーバー新報西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec