「メールアドレスのタイプミス」でアメリカ軍の機密情報を含む数百万通のメールが西アフリカのマリに流出していたことが判明

連絡先に登録されていない相手に初めてメールを送信する際、メールアドレスにタイプミスがあってメールが正しく送信できなかったという経験がある人もいるはず。そんなメールアドレスのタイプミスにより、「アメリカ軍の機密情報を含む大量のメールが、ロシアとつながっている西アフリカのマリに流出している」と、経済紙のフィナンシャル・タイムズが報じました。

Typo leaks millions of US military emails to Mali web operator | Financial Times
https://www.ft.com/content/ab62af67-ed2a-42d0-87eb-c762ac163cf0

Common typo causes millions of emails intended for members of the US military to be sent to accounts in Mali | CNN Politics
https://edition.cnn.com/2023/07/17/politics/email-typos-mali-military-emails/index.html

‘Millions’ of sensitive US military emails were reportedly sent to Mali due to a typo - The Verge
https://www.theverge.com/2023/7/17/23797379/mali-ml-typo-us-military-emails-leak

アメリカ軍が所有するインターネットドメインの「.mil」は、国防総省職員や軍関係者の公式メールアドレスの末尾に使用されています。ところが、メール送信時に末尾の「.mil」を打ち間違えて、マリの国別識別子である「.ml」としてメールを送信してしまうケースがあるそうです。

この事態について警告しているのが、「.ml」ドメインの管理契約を結ぶ企業を経営するオランダ人のヨハネス・ズールビア氏です。「navy.ml」「army.ml」といった実際には存在しないドメインへのリクエストは10年以上続いており、これまでに誤送信されたメールは数百万通以上だとみられています。かつてズールビア氏は、誤った「.ml」ドメインへのメールを検出するシステムを構築したものの、あまりに大量のメールが引っかかるためシステムを停止せざるを得なかったと述べています。

ズールビア氏は2013年以来、マリのアメリカ大使館を含むさまざまな当局者に問題を警告してきました。ところが、運営する会社の「.ml」ドメイン管理契約が2023年7月17日に期限切れとなり、今後はマリ当局が誤送信されたメールにアクセス可能となるため、メディアに公表して問題への認識を高めることが必要だと考えたとのこと。

誤送信されたメールはアメリカ国防総省の職員だけでなく、アメリカの諜報機関や軍と協力する旅行代理店、民間の請負業者などによって送信されたとフィナンシャル・タイムズは報じています。メールには医療記録や身分証明書情報、軍事基地に勤めるスタッフのリスト、軍事基地の写真、海軍の調査報告書、軍用船の船員リスト、税務記録といった機密情報も含まれていました。

中には、アメリカ陸軍の参謀総長であるジェームズ・マッコンビル氏が5月に実施したインドネシア訪問の旅程について記したメールもあり、「宿泊する部屋番号の完全なリスト」や「グランドハイアット ジャカルタでマッコンビル氏が宿泊する部屋の鍵についての詳細」なども含まれていたとのこと。

西アフリカのマリは近年、国内でのイスラム過激派の台頭を背景にロシアと急速に接近していることが指摘されており、5月には民間軍事会社のワグネルがマリを通じた軍事物資の供給を計画していると報じられました。ワグネルの創設者であるエフゲニー・プリゴジン氏が呼びかけた反乱が起きた後も、ロシア政府はマリにおけるワグネルの活動を継続すると表明しています。そのため、マリのドメインにアメリカ軍内部のメールが流出することは深刻な安全保障上のリスクを引き起こす可能性があります。

アメリカ国防総省副報道官のサブリナ・シン氏は7月17日に、漏えいしたメールはいずれも国防総省の公式メールアドレスから送信されたものではないものの、予防措置として公式メールアドレスが「.ml」ドメインにメールを送信するのをブロックしたと報告。漏えいしたメールはいずれもGmailやYahoo!などの個人アカウントから送信されたものであり、国防総省は公務に個人用メールアドレスを使用しないよう推奨していると説明しています。

アメリカ国防長官府の広報担当者であるティム・ゴーマン氏は海外メディアのCNNやThe Vergeへの声明で、「国防総省はこの問題を認識しており、管理された国家安全保障情報または非機密情報の不正な開示について深刻に受け止めています」「『.mil』ドメインからのメールが誤ったドメインに配信されないようにするためのポリシー、トレーニング、および技術的管理を実施しました」と述べています。しかし、民間の請負業者などの第三者がメールアドレスを打ち間違えた場合、国防総省は誤送信を制御できないこともゴーマン氏は認めました。

CNNは、「今回のメール誤送信は、アメリカの国家安全保障当局者に対し、罪のないタイプミスから発生しうるセキュリティ上のリスクを明らかにしました。メールに含まれる個人情報は、標的型サイバー攻撃や国防総省職員の追跡に使われる可能性があります」と指摘しました。しかし記事作成時点では、誤送信されたメールに含まれる情報が実際に悪用された証拠は見つかっていないとのことです。