在外スイス人の個人情報が大量流出 ネット投票導入に暗雲
機密情報を盗み出し身代金を要求するサイバー犯罪が横行している。スイスでは最近、約40万件の在外スイス人情報が盗み出され、ダークウェブ(闇サイト)に公開された。なぜこのような事態が起こったのか?
スイス外務省は先月21日、在外スイス人向け情報誌スイス・レビュー外部リンクの定期購読者に関する情報が盗まれたと発表した。情報を管理していたCHメディアによると、データの一部は、一般的な方法ではアクセス不可能なダークウェブに流出していた。
流出した可能性のあるデータは膨大だ。現時点で42万5千件以上のアドレスが保存されており、うち4割が郵送先住所、6割がEメールアドレスだ。外国を居住地として届け出ているスイス人には、国のサービスとしてEメールや郵便で自動的にスイス・レビューが送付される。連邦外務省(EDA/DFAE)の発表によると、在外スイス人約80万人のうち同誌を受け取っていないのは、イタリア語圏出身のスイス人など約33万人程度。スイス・レビューには独・仏・英・西の4言語があり、イタリア語圏出身者には別の雑誌が送付されている。
外務省はこれらの住所やアドレスを、データ保護に関する規則全般にのっとって管理、利用している。戸籍関連業務を行う外国のスイス公館が収集した個人情報を転用しており、本人が自らの意志で登録したわけではないからだ。
国外転出届を提出したスイス人は、外国での居住地を必ず管轄のスイス在外公館に届け出なくてはならない。その住所にスイス・レビューが送付されるというわけだ。
アクセス権は誰にもなし
政府は事実、購読者情報をとても繊細なデータとして扱っている。スイス・レビューの発行者である「在外スイス人協会(ASO/OSE)」ですら、読者のアドレスデータへのアクセス権を持っていない。
外務省は「実際にどれだけのデータが盗まれたのか把握していない」としている。住所やメールアドレス以外の個人情報はなく、swissinfo.chの問い合わせに対し「そのほかに記載されているのは、定期購読しているスイス・レビューの言語だ」と補足した。情報が現在もダークウェブに掲載されているかどうかは、外務省は把握していない。
とはいえ、政府にとっての機密情報が一部・一時的にでも盗まれたことの問題は軽視できない。
スイスのデータ保護体制を監督する連邦データ保護コミッショナー、アドリアン・ロプジガー氏はswissinfo.chの問い合わせに対し、「本人の意思に沿って収集されたわけではないデータが、このような形で公にされるのは非常に遺憾だ」と述べ、法律では被害者にその旨を通知することになっていると説明する。
この件は告訴され、サイバー専門家が捜査に乗り出した。
ランサムウェアの3次被害
それにしても、どうしてこのような事態が生じたのか。実際にランサムウェア攻撃を受けたのは外務省ではない。スイス・レビューの印刷・送付を請け負うCHメディアでもなく、同社にITインフラを提供するNZZ出版だった。
攻撃を仕掛けたのは「Play」と名乗る犯罪組織。世界中で暗躍するハッカー集団で、ロシアとのつながりがささやかれている。「Play」はまず5月3日、NZZ出版へのサイバー攻撃でCHメディアから盗んだ大量のデータをダークウェブに公開した。CHメディアの発表外部リンクによると、社員や取引企業の機微(センシティブ)情報も含まれていたという。
ダークウェブへの公開前には身代金交渉があった。冷淡で卑劣な、いわゆるランサムウェア攻撃に使われる手法だ。
ハッカーはまず企業のITシステムに侵入する。それには社員がうっかりリンクをクリックするだけで事足りる。今回のケースではNZZ出版のシステムに押し入った。NZZのITインフラを利用しているCHメディアのシステムに入り込むドアも、この時すでに開いていた。
身代金の支払いを拒否
システムに入り込んだハッカーは被害者が保存しているデータを暗号化し、同時に機微情報を公開すると脅迫する。被害企業が身代金の支払いを拒むと、最終的にデータがダークウェブに掲載される。
今回被害者となったNZZとCHメディアは身代金を支払っていない外部リンクと公言している。
両社のITシステムへの攻撃があったのは3月末。スイス・レビュー編集長のマルク・レッタウ氏は、その余波が同編集部にも及んだと言う。スイス・レビュー編集部もまた、攻撃を受けたCHメディアの環境とITシステムを通じてつながっているため、編集システムに障害が出た。
「Play」が強奪データを公開した5月3日、CHメディアは自社の取引相手企業に対し、顧客情報も被害に遭った旨を通知した。この連絡はスイス・レビューにも舞い込んだ。
それから2週間後の5月中旬、外務省が年6回送付するスイス・レビューの定期購読者のアドレスもこれに該当していることが明らかになった。スイス・レビューの印刷を行っているのは、CHメディアの子会社である印刷業者フォクト・シルト(本社・ゾロトゥルン)で、その後の送付作業まで請け負っている。
ワークフローの中にデータ保護は?
このようなワークフローの中でデータ保護対策は行われているのか。外務省のアンドレアス・ヘラー広報官は次のように答える。「送付には政府の暗号化ファイル転送システムを使用している。これは被害にあっていない。ハッキングされておらず、盗難の対象にはなっていない」
また、「これらのデータは、政府のデータ保護規則にのっとってフォクト・シルトが暗号化し保存することになっている。データは印刷・送付処理のみを目的に保存されている」と説明する。
問題のデータが実際に暗号化されていたかどうかは不明だ。CHメディアはswissinfo.chの質問に対し、「個々の顧客関係については口外しない」と回答した。
連邦データ保護コミッショナーのロプジガー氏は、データ消失やその処理について近々CHメディアと話し、必要に応じて外務省とも話し合うつもりだとswissinfo.chに述べた。
外務省の発表外部リンクは、CHメディアの情報流出が明らかになってから1カ月半も経過していた。この間、外務省は実態把握に努め、適切な発表方法を模索していたとみられる。専門家らも「政府にミスがあったわけではない」との意見で一致している。
雑誌インサイドITの編集長を務めるレト・フォクト氏も同じ考えで、政府がデータ保護に関して非常に気を使っているのはよく知られていることだと語る。「これは特殊なケースであり、単に運が悪かっただけだ」
ネット投票も危機に?
スイスでは今年、インターネット投票システムが再導入された。運が悪かっただけとはいえ、この攻撃によって電子投票システムの安全性をめぐる議論が活性化する可能性は否めない。新しいネット投票システムの試験運用開始と同時に複数のサイバー攻撃がスイスで発生し、疑惑の念を掻き立てたからだ。
「Play」は出版企業を脅迫する傍ら、スイスのIT企業Xplainにも大胆な攻撃を仕掛けた。Xplainはスイスの司法・警察当局にソフトウェアを提供している。
その結果、軍、連邦関税・国境警備局(BAZG/OFDF)、連邦警察Fedpolなどもランサムウェア攻撃を受け情報が流出した。今なお被害の全貌は見えず、捜査が続いている。
さらに6月初旬にも別のハッカー集団がスイスの重要なウェブサイトをマヒさせた。攻撃を仕掛けたのは親ロシア派のハッカー集団「NoName」で、連邦議会でウクライナのウォロディミル・ゼレンスキー大統領のビデオ演説が予定されていることに反発してのことだった。
この時には多くの州や連邦のサイトのほか、株式市場も攻撃された。ここで用いられたのは、通常と異なるDDoS(分散型サービス妨害)という方法だ。これは標的とするサイトに複数の機器から大量のデータを一斉に送りつけて処理を不可能にさせ、サーバーを一時的に停止させるやり方だ。
ランサムウェア攻撃もDDos攻撃もネット投票技術とは直接関係はないが、このような攻撃が頻繁に発生すれば、やはり何らかの影響が出る。IT企業を経営するフランツ・グリュター下院議員(国民党)は「この事件は直接ネット投票システムと関係がないにしても、今後サイバー事件が発生するたびに国のITシステムの安全性への信頼が低下する」と警告する。
危ぶまれる安全思想
グリュター氏は一連の事件により「政府の安全思想に疑問が湧く」と言う。ネット投票に懐疑的な同氏は、「一般市民にとっては盗難の詳細などどうでもよい。ただ国に管理されている自分の情報は安全だと確信できなければならない」と強調する。
一方、IT専門ジャーナリストのフォクト氏は、スイス・レビューのデータ盗難がスイスのネット投票をめぐる議論にマイナスに影響することはないという考えだ。「両方とも在外スイス人が対象だが、共通点はそれだけだ」
それでも心理的な側面は過小評価できない。在外スイス人はネット投票や電子政府(e-Gov)を後押しする最大かつ最も熱心なロビー集団だ。その大半が被害者となった今、少なくともこの情熱がそがれることもありうるだろう。
独語からの翻訳:小山千早
JTI基準に準拠
swissinfo.chの記者との意見交換は、こちらからアクセスしてください。
他のトピックを議論したい、あるいは記事の誤記に関しては、japanese@swissinfo.ch までご連絡ください。