航空会社が誤って公開していたサーバーから約150万件の飛行禁止対象者のリストが流出

アメリカのコミュートエアが管理するサーバーがセキュリティで保護されていなかったため、ハッカーに侵入を許し、保存されたデータを流出させてしまったことが分かりました。データの中にはコミュートエア従業員の個人情報のほか、テロとの関与が疑われる人物を記載した、通称「No Fly List(搭乗禁止リスト)」と呼ばれる情報が含まれていました。

U.S. No Fly List Left on Unprotected Airline Server
https://www.dailydot.com/debug/no-fly-list-us-tsa-unprotected-server-commuteair/

コミュートエアのサーバーには、約900人の従業員のパスポート番号、住所、電話番号、コミュートエアが運営する40以上のAmazon S3のバケット、サーバーのユーザー認証情報などが記録されていたとのこと。中でも重要視されたデータが、テロとの関与が疑われる人物を記載し、対象者が旅客機に搭乗するのを防ぐために使われる「No Fly List」でした。

コミュートエアのサーバーにアクセスしたスイスのソフトウェア開発者兼ハッカー、マイア・アーソン・クライム氏によると、No Fly Listには全部で約150万件の項目があり、名前や生年月日などの個人情報が記載されていたとのこと。リストの中にはロシアの武器商人であるヴィクトル・バウトや、アイルランドの準軍事組織であるIRAのメンバーとおぼしき人物、生年月日から現在8歳だと分かる人物などの情報が含まれていたとのこと。ただし、名前のスペルを変えたり、偽名を使ったりした人も含まれているため、実際にリストに記載された人数は150万人をはるかに下回るとクライム氏は述べています。

リストにはアラビア系や中東系、ヒスパニック系の響きのある名前が含まれていたとのことですが、クライム氏は「膨大なデータベースにもかかわらず、アラビア語とロシア語系の名前ばかり記載されているのは不思議なことです」と述べました。

No Fly Listはもともと16人の情報を記載したリストとして管理されていましたが、アメリカ同時多発テロ事件などを受けて徐々に対象者が増加していったそうです。しかしながら、同姓同名の人物が誤検知されることがあるほか、全く罪のない人がリストに記載されて消去するすべもないなどといった理由から、人権団体により訴えられたこともあります。

No Fly Listの不透明さを長年批判してきたアメリカ自由人権協会は「監視リストの対象となったアメリカ市民はイスラム教徒やアラブ系、中東系、南アジア系の人々に偏っています。異論を唱えたり、少数派とみなされるような意見を持っていたりする人や、ジャーナリストが掲載されることもあります。個人に異議申し立てのプロセスは認められておらず、政府は簡単に個人にテロリストとしての汚名を着せることができるのです。もし政府がリストを使うのであれば、最低限具体的な公開基準を設け、対象者がリストから情報を削除するための厳格な公開手続きを適用しなければなりません」と述べました。

この報道を受け、運輸保安局は「サイバーセキュリティ事件が発生した可能性を認識しており、連邦政府のパートナーと連携して調査しています」との声明を公開しました。また、コミュートエアは「今回公開されていたサーバーは開発用のテストサーバーであり、初期調査では顧客情報が一切流出していないことが分かっています。サーバーは現在オフラインです」と説明しています。