18万件以上の旅行者の顔写真がハッキングで盗まれ一部がダークウェブに流出していたことが判明

ハッキングにより旅行者の顔などが写った生体認証に用いる大量の画像を含むデータがダークウェブ上に流出したことをアメリカ合衆国国土安全保障省(DHS)が報告しました。DHSは、ハッキングが2019年にアメリカ合衆国税関・国境警備局(CBP)が契約していた下請け業者のサーバーに対して行われたと述べています。

Review of CBP's Major Cybersecurity Incident During a 2019 Biometric Pilot
(PDFファイル)https://www.oig.dhs.gov/sites/default/files/assets/2020-09/OIG-20-71-Sep20.pdf

DHS Admits Facial Recognition Photos Were Hacked, Released on Dark Web
https://www.vice.com/en_us/article/m7jzbb/dhs-admits-facial-recognition-photos-were-hacked-released-on-dark-web

データの流出元となるDHSの生体情報データベースは、2億5000万人以上の生体情報を管理しており、1日に30万件以上のトランザクションを処理できるもの。生体情報データベースとしてはアメリカ最大規模であり、データベースはDHS以外にもCBPや司法省などと共有されています。

このためデータベースにはCBPによって収集された、アメリカの国境を越えて移動する人々の顔や自動車の画像も格納されていました。これらの画像は、犯罪者やテロリストの容疑者を摘発するための手がかりとして使用されるものです。

今回の画像流出の原因となった下請け業者のPercepticsは、高速道路や国境検問所で撮影された顔や自動車の画像処理に関わっていました。PercepticsはDHSのデータベースにある生体認証データのコピーを無断で自社のサーバーに転送した上、第三者から悪意あるサイバー攻撃を受けてしまったとのこと。

2019年5月頃、PercepticsはBoris Bullet Dodgerと名乗るハッカーからメールを受け取りました。ハッカーからのメールには「72時間以内に20ビットコイン(約2244万円)を支払わなければ、盗んだデータをダークウェブにアップロードする」といった内容が書かれていましたが、Percepticsは支払いを拒否しました。Percepticsのサーバーから盗まれた画像の総数は約18万4000枚あり、ダークウェブ上に流出した画像は少なくとも19枚あったと報告されています。

CBPはPercepticsがハッキングされたことを知った後、Percepticsとの契約を停止しましたが、2019年9月26日には停止を解除しています。この理由としてCBPは「データ侵害調査で特定されたリスクを是正するための契約を締結するため」と述べています。また、DHSは「我々はセキュリティを強化し、このようなことが二度と起こらないようにします」とコメントしました。

DHSは今回の一件を受けて、「CBPは顔認識技術の試験運用中に使用した、暗号化されていないデバイス上の機密データを適切に保護していませんでいた。政府の生体認証データ保護能力の無さによって引き起こされた事件は国民からの信頼を失い、アメリカ入国時に旅行者が生体認証情報の取得と使用の許可を求められたとしても、それをためらう原因となるかもしれません」と述べています。