スウェーデン政府が間違ってほぼ全国民分の個人情報&軍の機密情報を流出させる

By Fredrik Rubensson

スウェーデンの報道機関によると、数百万人ものスウェーデンの輸送業者の個人情報や、国家の軍事機密である軍事要員に関するデータと防衛計画、証人保護の詳細などデータが流出し、スウェーデンは現在国家の安全保障上の危機に瀕しています。これらの機密情報を漏洩したのはなんとスウェーデン政府自身だそうで、スウェーデンのステファン・ロベーン首相はこの事態について「災害である」と語っています。

Swedish authority handed over 'keys to the Kingdom' in IT security slip-up - The Local
https://www.thelocal.se/20170717/swedish-authority-handed-over-keys-to-the-kingdom-in-it-security-slip-up

Sweden Accidentally Leaks Personal Details of Nearly All Citizens
http://thehackernews.com/2017/07/sweden-data-breach.html


スウェーデンのThe Localという現地メディアによると、スウェーデンの国家輸送機関である「Transportstyrelsen」がIBMとのアウトソーシング契約の際に処理を誤り、スウェーデン国内の乗り物に関する個人情報が漏洩してしまいました。この「スウェーデン国内の乗り物」には警察や軍関連の乗り物も含まれており、意図せず軍事機密も漏洩してしまうこととなっています。

流出したのはスウェーデン空軍で戦闘機のパイロットをしている軍人、軍の極秘部隊に配属されている軍人、警察登録簿に登録されている全ての人、証人保護プログラムを受けている人の名前・写真・住所。人口が約990万人のスウェーデンですが、ほぼ全国民分の個人情報が流出したと考えられています。その他、スウェーデン国内の道路や橋の耐荷重量などの情報(戦時中にどの道路や橋が一時的に飛行場として使用されるかにつながる情報)、軍用車両や軍用機に関するデータも流出しています。

By RestrictedData

情報流出が起きたのは2015年のこと。この時、Transportstyrelsenはデータベースおよびネットワークの管理をアウトソーシングするために、IBMとIT保守契約を結びました。しかし、TransportstyrelsenはIBMのデータベース全体をクラウドサーバー上にアップロードしてしまいます。クラウド上にアップロードしたデータには上記のデータが含まれており、世紀の情報流出が起きてしまったというわけ。

その後、Transportstyrelsenは付き合いのあるマーケティング担当者全体に向けてメールでデータベースのアドレスを通知したそうです。また、問題なのはこのメッセージが暗号化されていない平文で送られていたということ。また、アウトソーシング契約を結んだIBMのスタッフは、なんとスウェーデン国外からでも適切なセキュリティチェックを受けずにTransportstyrelsenのシステムにアクセス可能となっていたそうです。実際、調査報告書を分析したスウェーデンの新聞DN.SEによると、チェコのIBM職員はTransportstyrelsenの全てのデータとログにアクセスできる権限が与えられていたことがわかっています。

データの流出は2015年に起きましたが、スウェーデンの政府当局がこの事態に気づいたのは2016年になってから。その後、この事態の責任を取る形で2017年1月に辞職したスウェーデン当局の元局長であるマリア・アグレン氏は、7万スウェーデンクローナ(約95万円)の罰金を課せられました。

・関連記事
アシアナ航空のサーバーから乗客のパスポート情報や銀行口座番号などの個人情報4万7000件が流出 - GIGAZINE

Amazonのクラウドサービス上で9340万人分の個人情報が閲覧可能になっていたことが判明 - GIGAZINE

約5000万人分の詳細な個人情報が漏洩、過去最大級のリークとなる可能性も - GIGAZINE

会員の個人情報がダダ漏れした不倫・浮気サイト、前回の2倍のデータが公開されるという事態に - GIGAZINE

史上最狂の大規模ハッキング攻撃10選 - GIGAZINE

743

in セキュリティ, Posted by logu_ii