ドイツのハッキングクラブに所属するセキュリティ研究者Matthias Marx氏が、eBayで入手した米軍のアフガニスタン撤退時遺留品6つのうち2つから、2632人分の名前、国籍、写真、指紋、虹彩に関する暗号化されていないデータを発見しました。
eBayで1台あたりわずか68ドルで入手できたというこのデバイスは、アフガニスタンに展開していた米軍が、テロリストや指名手配中の人物を特定するために使用したSecure Electronic Enrollment Kit (SEEK II)、およびHandheld Interagency Identity Detection Equipment (HIIDE)と呼ばれるものです。デバイスには犯罪容疑者だけでなく、米軍関係者やアフガニスタンで政府関係者と働いていた人、軍の検問所に一時的に収容されていた一般人の個人識別情報なども保存されていたとされ、大半はアフガニスタンやイラクの住民でした。
通常の手続きならば、これらのデバイスを廃棄または譲渡する場合、保存されているデータはその場ですべて破棄されなければならない決まりになっていたはずです。しかし当時、早期撤退を求められた米軍は、処理を完了できない大量のデバイスを放置せざるを得なかったのかもしれません。
ただ、このデータがタリバン側などに渡れば、米軍協力者や一部の米軍兵士が特定され、つけ狙われる可能性もあるとNYTは報じています。2021年には撤退前の米軍がタリバンと交戦中にHIIDEを奪われたことが報じられていました。
また、このデバイスが最後に使用されたのは2012年、アフニスタンのカンダハル近辺と記録されているとのことですが、それ以来、何度売買されたのか、誰から誰の手を渡り歩いたのかはわからない模様。内容が内容だけに、Marx氏は生体認証データを安易に報道機関に渡すのを控えており、NYTはドイツ在住の記者をMarx氏のもとに派遣して情報を確認したとのこと。さらに、NYTは保存されていたデータの中に含まれていた米国人と連絡を取り、情報が本人のデータで間違いないことも確認したと伝えています。
この件に対し、米国防総省の報道官は「デバイスの情報を見ていないため、そのデータの真偽を確認したり、それについてコメントしたりはできない」としつつ「個人を特定できる情報を含むデバイスが見つかったのなら、分析が必要になるため国に返却するよう求める」としました。一方、The Vergeは、Marx氏が米国防総省に連絡したところ、デバイスの製造元に連絡を取るように言われたと伝えています。Marx氏が連絡を取った関係各所について「残念ながら、誰も責任を負わないどころか、被害を受けた人々を保護しようという努力をする気もないようだ」と述べ、「われわれはこのデータを間もなく削除するつもりだ」と述べたとArs Technicaは伝えています。
軍の払い下げ品がオークションに出品されたり、販売されたりするのはよくあることで、その多くはその手のコレクションが好きな個人の手に渡ります。しかし今回のように機密情報を含むデータを残したまま転売されることは、通常はあってはなりません。今回SEEK IIをeBayに出品した会社はデータが含まれているのを認識していなかったとのこと。なおeBayは、個人情報を含む状態のデバイスの出品はポリシーに違反すると述べています。
![[Internet Week 2016] 厳選セキュリティセッション 第3回 「実践インシデント対応 ~事故から学ぶ~ 」 日本シーサート協議会 庄司 朋隆 氏](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/21309.jpg)