米軍の遺留品から2,632人分の個人情報と指紋・虹彩に関するデータを発見、eBayで入手 | ScanNetSecurity
2023.02.03(金)

米軍の遺留品から2,632人分の個人情報と指紋・虹彩に関するデータを発見、eBayで入手

ドイツのハッキングクラブに所属するセキュリティ研究者Matthias Marx氏が、eBayで入手した米軍のアフガニスタン撤退時の遺留品6つのうち2つから、2632人分の名前、国籍、写真、指紋、虹彩に関する暗号化されていないデータを発見しました。

インシデント・事故 インシデント・情報漏えい

ドイツのハッキングクラブに所属するセキュリティ研究者Matthias Marx氏が、eBayで入手した米軍のアフガニスタン撤退時遺留品6つのうち2つから、2632人分の名前、国籍、写真、指紋、虹彩に関する暗号化されていないデータを発見しました

eBayで1台あたりわずか68ドルで入手できたというこのデバイスは、アフガニスタンに展開していた米軍が、テロリストや指名手配中の人物を特定するために使用したSecure Electronic Enrollment Kit (SEEK II)、およびHandheld Interagency Identity Detection Equipment (HIIDE)と呼ばれるものです。デバイスには犯罪容疑者だけでなく、米軍関係者やアフガニスタンで政府関係者と働いていた人、軍の検問所に一時的に収容されていた一般人の個人識別情報なども保存されていたとされ、大半はアフガニスタンやイラクの住民でした。

通常の手続きならば、これらのデバイスを廃棄または譲渡する場合、保存されているデータはその場ですべて破棄されなければならない決まりになっていたはずです。しかし当時、早期撤退を求められた米軍は、処理を完了できない大量のデバイスを放置せざるを得なかったのかもしれません。

ただ、このデータがタリバン側などに渡れば、米軍協力者や一部の米軍兵士が特定され、つけ狙われる可能性もあるとNYTは報じています。2021年には撤退前の米軍がタリバンと交戦中にHIIDEを奪われたことが報じられていました

また、このデバイスが最後に使用されたのは2012年、アフニスタンのカンダハル近辺と記録されているとのことですが、それ以来、何度売買されたのか、誰から誰の手を渡り歩いたのかはわからない模様。内容が内容だけに、Marx氏は生体認証データを安易に報道機関に渡すのを控えており、NYTはドイツ在住の記者をMarx氏のもとに派遣して情報を確認したとのこと。さらに、NYTは保存されていたデータの中に含まれていた米国人と連絡を取り、情報が本人のデータで間違いないことも確認したと伝えています。

この件に対し、米国防総省の報道官は「デバイスの情報を見ていないため、そのデータの真偽を確認したり、それについてコメントしたりはできない」としつつ「個人を特定できる情報を含むデバイスが見つかったのなら、分析が必要になるため国に返却するよう求める」としました。一方、The Vergeは、Marx氏が米国防総省に連絡したところ、デバイスの製造元に連絡を取るように言われたと伝えています。Marx氏が連絡を取った関係各所について「残念ながら、誰も責任を負わないどころか、被害を受けた人々を保護しようという努力をする気もないようだ」と述べ、「われわれはこのデータを間もなく削除するつもりだ」と述べたとArs Technicaは伝えています

軍の払い下げ品がオークションに出品されたり、販売されたりするのはよくあることで、その多くはその手のコレクションが好きな個人の手に渡ります。しかし今回のように機密情報を含むデータを残したまま転売されることは、通常はあってはなりません。今回SEEK IIをeBayに出品した会社はデータが含まれているのを認識していなかったとのこと。なおeBayは、個人情報を含む状態のデバイスの出品はポリシーに違反すると述べています。




ランボー3/怒りのアフガン4K Ultra HD Blu-ray (Ultra HD Blu-ray +Blu-ray 2枚組)
¥3,400
(価格・在庫状況は記事公開時点のものです)

米軍の生体認証スキャナがeBayで販売、中から約2600人の個人情報

《Munenori Taniguchi》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×