スウェーデン政府が間違ってほぼ全国民分の個人情報＆軍の機密情報を流出させる

By Fredrik Rubensson

スウェーデンの報道機関によると、数百万人ものスウェーデンの輸送業者の個人情報や、国家の軍事機密である軍事要員に関するデータと防衛計画、証人保護の詳細などデータが流出し、スウェーデンは現在国家の安全保障上の危機に瀕しています。これらの機密情報を漏洩したのはなんとスウェーデン政府自身だそうで、スウェーデンのステファン・ロベーン首相はこの事態について「災害である」と語っています。

Swedish authority handed over 'keys to the Kingdom' in IT security slip-up - The Local
https://www.thelocal.se/20170717/swedish-authority-handed-over-keys-to-the-kingdom-in-it-security-slip-up

Sweden Accidentally Leaks Personal Details of Nearly All Citizens
http://thehackernews.com/2017/07/sweden-data-breach.html

スウェーデンのThe Localという現地メディアによると、スウェーデンの国家輸送機関である「Transportstyrelsen」がIBMとのアウトソーシング契約の際に処理を誤り、スウェーデン国内の乗り物に関する個人情報が漏洩してしまいました。この「スウェーデン国内の乗り物」には警察や軍関連の乗り物も含まれており、意図せず軍事機密も漏洩してしまうこととなっています。

流出したのはスウェーデン空軍で戦闘機のパイロットをしている軍人、軍の極秘部隊に配属されている軍人、警察登録簿に登録されている全ての人、証人保護プログラムを受けている人の名前・写真・住所。人口が約990万人のスウェーデンですが、ほぼ全国民分の個人情報が流出したと考えられています。その他、スウェーデン国内の道路や橋の耐荷重量などの情報(戦時中にどの道路や橋が一時的に飛行場として使用されるかにつながる情報)、軍用車両や軍用機に関するデータも流出しています。

By RestrictedData

情報流出が起きたのは2015年のこと。この時、Transportstyrelsenはデータベースおよびネットワークの管理をアウトソーシングするために、IBMとIT保守契約を結びました。しかし、TransportstyrelsenはIBMのデータベース全体をクラウドサーバー上にアップロードしてしまいます。クラウド上にアップロードしたデータには上記のデータが含まれており、世紀の情報流出が起きてしまったというわけ。

その後、Transportstyrelsenは付き合いのあるマーケティング担当者全体に向けてメールでデータベースのアドレスを通知したそうです。また、問題なのはこのメッセージが暗号化されていない平文で送られていたということ。また、アウトソーシング契約を結んだIBMのスタッフは、なんとスウェーデン国外からでも適切なセキュリティチェックを受けずにTransportstyrelsenのシステムにアクセス可能となっていたそうです。実際、調査報告書を分析したスウェーデンの新聞DN.SEによると、チェコのIBM職員はTransportstyrelsenの全てのデータとログにアクセスできる権限が与えられていたことがわかっています。

データの流出は2015年に起きましたが、スウェーデンの政府当局がこの事態に気づいたのは2016年になってから。その後、この事態の責任を取る形で2017年1月に辞職したスウェーデン当局の元局長であるマリア・アグレン氏は、7万スウェーデンクローナ(約95万円)の罰金を課せられました。