数千人分の指紋・虹彩データなどの軍事データを含むアメリカ軍のデバイスが1万円足らずで落札されてしまう

アメリカ軍は、兵士やアフガニスタンの人々から指紋や虹彩などの生体情報を収集し、行動履歴と照合して危険度の判定に利用しています。この生体情報の収集および管理を行っていた軍用デバイス「SEEK II」が、ネットオークションサイト・eBayに出品される事態が発生しました。ドイツの研究チームが実際にSEEK IIを落札した結果、デバイスには数千人分の生体情報や位置情報などが保存されていたことが判明。さらに、SEEK IIにはパスワード保護が施されておらず、タリバンなどの勢力に情報を悪用されるリスクも指摘されています。

How Biometric Devices Are Putting Afghans in Danger
https://interaktiv.br.de/biometrie-afghanistan/en/index.html

For Sale on eBay: A Military Database of Fingerprints and Iris Scans - The New York Times
https://www.nytimes.com/2022/12/27/technology/for-sale-on-ebay-a-military-database-of-fingerprints-and-iris-scans.html

eBayで販売されていたSEEK IIが以下。研究チームによると、SEEK IIは兵士や民間人の生体情報の収集のためにアメリカやドイツなどのNATO加盟国の兵士によって使用されていたとのこと。

SEEK IIの使用例はこんな感じ。まず、指紋センサーで指紋を読み取ります。

続いて、SEEK IIを対象者の目に近づけ、虹彩情報を読み取ります。

さらに、手入力で対象者の所属や体重、年齢などの個人情報を入力。これらの情報をアメリカに設置されたサーバーに送信して危険度の判定に利用していました。

上記の通り、SEEK IIには非常に高度な個人情報が含まれています。しかし、セキュリティ専門家のマティアス・マルクス氏はSEEK IIがeBayで販売されているのを発見。デバイスはわずか68ドル(約9100円)で落札できてしまいました。

記事作成時点では「SEEK II」を扱うページは発見できませんが、Wayback Machineには「SEEK II」が299.98ドル(約4万円)で販売されていた履歴が残っています。

マルクス氏が入手したSEEK IIを含む5台のSEEK IIを研究チームが分析した結果、SEEK IIはパスワードで保護されておらず、ボタンを数回押すだけでアメリカ軍に所属する兵士の名前や写真、指紋、虹彩情報を閲覧できたとのこと。閲覧可能なデータの中にはアメリカ海兵隊に所属する諜報員のものも含まれていました。加えて、SEEK IIには位置情報が保存されていることや、アメリカ国防省が管理する生体情報データベース(ABIS)にインターネットを介して接続できることも判明しています。

分析したSEEK IIの1台には約2600人分のデータが保存されているものもありました。各データには「国家治安部隊によって収集されたデータ」「警察関係者」「軍関係者」といったラベルが付与されていたとのこと。研究チームは「(SEEK IIなどの)生体情報スキャナーがタリバンなどの手に渡ると、『人々がタリバンの支持者なのか否か』を的確に判断できるようになるでしょう」と述べ、SEEK IIを容易に入手できる状況に警鐘を鳴らしています。