ScanDispatch「米空港で行われる全身透視スキャン」
アメリカ運輸安全局(TSA)が導入した全身透視スキャナーが物議を醸している。ドイツの週刊誌Der Spiegel誌が掲載しているテスト写真を見て欲しい。
国際
海外情報
Der Spiegel
http://www.spiegel.de/fotostrecke/fotostrecke-36433-5.html。
男性の裸体の輪郭がくっきりと見える。2010年5月には、フロリダのTSA検査員が、全身透視スキャナーに映った姿を同僚にからかわれ、逆ギレして逮捕されているが、全身透視スキャナーの性能を証明する事件と言えるだろう。
この全身透視スキャナーは「イメージを保存、プリント、転送することができないようになっており、検査員がチェックをしたイメージは自動的に消去される」とアメリカ運輸安全局ウエブサイトでは説明しており、同様の内容のプレスリリースも全世界に配布されている。
ところが、今年の8月にCBSニュースなどが、フロリダの裁判所に設置されていたBrijot Gen2透視スキャナーが、チェックを受けた35,314人のイメージを保存していたという事実を報道した。 Brijot Gen2機は、空港に設置されているのと同じモデルである。TSAの「保存できない」というの主張と矛盾している。真相は一体どうなのか。
11月1日、Electronic Privacy Information Center(EPIC)が起こした訴訟の趣旨書で、その真相が判明した。EPICは、ワシントンにあるオンライン人権保護団体で、今回、アメリカ運輸安全局を相手取って透視スキャナーの使用を一時中止するよう訴訟を起こしている。EPICは、アメリカ運輸安全局から透視スキャナーの発注仕様書を資料として入手しているが、その資料によると、「Ethernet、USB、ハードディスクを搭載するように指定している発注仕様書どおりにベンダーはマシンを製造しているため、透視スキャナーは、イメージをキャプチャ、保存、転送することができる。また、マシンは、セキュリティの脆弱性が多いエンベデッド・バージョンのWindowsXP(XPe)である」ことがわかったのだ。
Wired.comは、テストモードでのみ「保存、転送」するこができ、空港に設置される透視スキャナーはそのテストモードがオフになっているため大丈夫、というアメリカ運輸安全局側の声明を引用しているが、もしそうだとしたら、8月のフロリダ裁判所の事件は一体どうして起きたのだろうか。それだけでなく、WindowsXPeはこれまでにも数限り無い脆弱性が発見されているOSであることは、読者ならよくごぞ存じだろう。
さて、この透視スキャナー、今までは一部の空港でのみ試験運用されていたが、現在、全部で317機、全米で65の空港で使用されている。空港によって設置されているゲートと設置されていないゲートがあり、設置されているゲートでも、透視スキャナーでなく金属探知機を通る列を選ぶこともできる。また、透視スキャナーはX線公害となるし、宗教上の問題がある人などは、透視スキャナーを拒否して、いわゆる「パット・ダウン(身体を軽く手でたたきながら調べる)を選択することができた。人工関節など金属を体内に埋蔵している人、ポケットに鍵を入れたままだったなどの理由で金属探知機にひっかかった人などは、パット・ダウンが義務付けられている。
さて、このパット・ダウンの方法が、11月1日から新しくなり、現在全米で論議が起こっている。今までは、女性の乳房の下や内腿などの部分は、手の甲を使って軽く叩く方法が使われていたが、新しい方法では指や手のひらを使って体の上を滑らせ、股間までもをしっかりと触る方法になったというのだ。
さすがにこの新しい方法の導入には「行き過ぎ」と言う声が爆発。女性の下着のアンダーワイヤーが金属探知機にひっかかり、新しいパット・ダウンを受けたというCNNの女性社員は、そのあまりのひどさに泣き出したそうだし、The AtlanticのコラムニストJeffery Goldberg氏は、実際のアメリカ運輸安全局の検査員とのやりとりをレポートし、検査委員が、「内股を(膝から上に)抵抗があるまで探り上げる」つまり「下腹部に触れるまで探り上げることになっている」と説明していることを書いている。
「痴漢行為(ACLU)」「マッサージパーラーでの特別サービス(The Register誌)」「フォープレイ(Network World誌)」などの表現を使って怒りを表した報道が多いのも納得がいく。この新しい方法の導入は透視スキャナーの使用を促すのが目的、というのが一致した意見。
著名セキュリティ研究者のブルース・シュナイアーは、アメリカ運輸安全局が空港で行っている「セキュリティ」は、頭の悪いテロリストは捕まえることができるものの、頭のいいテロリストなら簡単に通過できる意味のないもので、単に「セキュリティをしてますよ」と宣伝する見世物であるとして「セキュリティ劇場」と命名しているのに納得する。
ちなみに、オランダの新聞De Telegraaf紙によると、アルカイダはすでにこの透視スキャナを購入し、爆破物を隠して通過する方法を研究しているそうだ。
EPIC
http://epic.org/privacy/body_scanners/epic_v_dhs_suspension_of_body.html
The Atlantic
http://www.theatlantic.com/national/archive/2010/10/for-the-first-time-the-tsa-meets-resistance/65390/
CNN
http://edition.cnn.com/2010/TRAVEL/10/28/airline.security.pat.down/index.html
Network World
http://www.networkworld.com/community/node/68159
Wired
http://www.wired.com/threatlevel/2010/01/airport-scanners/
Del Telegraaf
http://www.telegraaf.nl/binnenland/5670711/__Al-Qaeda_traint_met_bodyscans__.html
(執筆:米国 笠原利香)
《ScanNetSecurity》
特集
アクセスランキング
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
-
タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
-
訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績
-
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
-
国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表
-
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)