|
経済通信省の政府機関で、国の電子政府インフラサービスの開発・管理、政府のサイバーセキュリティなどを担当する、エストニア情報システム局(RIA)から「身分証明書写真の違法ダウンロード」について、2021年7月28日に報道発表がありました。
RIAでは、7月20日に政府ポータルの企業サービスにおける従業員のアクセス権限管理(代理機能)について、従業員データの管理不備(不適切なアクセス制御)があったことが発表されたばかりです。 エストニア情報システム局(RIA)は、日本で9月にスタートするデジタル庁と機能が重なる部分も多いので、日本のデジタル庁の役割を考える上で何かの参考になればと思います。 (1)事件の概要 「身分証明書写真の違法ダウンロード」についての概要は、次の通りです。
(2)悪用されたセキュリティの脆弱性 写真仲介サービスは、写真を取得するために5つのサブシステムによる追加の検証が必要になるように構成されていましたが、容疑者は、リクエストの正当性を適切に検証していないアプリケーションの脆弱性を発見し、これを悪用しました。その結果、容疑者は、個人名と個人識別コードの情報だけで、あたかも本人が自分の写真をリクエストしたようにシステムに誤った認識をさせて、写真仲介サービスから写真をダウンロードすることに成功したようです。 RIAの専門家は、同様のセキュリティ脆弱性を排除するために、写真仲介サービス以外のサービスについてもテストして、攻撃の可能性は検出されませんでしたが、引き続き検証・ 監視を続けるとしています。 今回の事件では、「偽のデジタル証明書を使用」とありますが、その詳細についての発表は今のところありません。考えられるのは、証明書の検証が不十分だったので「(本人の氏名と個人識別コードを含む)なんちゃってデジタル証明書」を「本人の正式なデジタル証明書」とシステムに認識させることが可能だったのではないかと推測されます。 (3)事件の発覚と対応の流れ 7月16日:認証サービスを管理する「SK ID Solutions」が、リクエスト数の増加をRIAに通知 7月21日:RIAは、追加の監視を通じて身分証明書DBからの写真データの大量ダウンロードを検出し、サービスを停止 7月22日:RIAは、ドキュメント内の写真がダウンロードされた可能性のあるIPアドレスを記録し、その情報を警察に転送 7月22日:RIAは、写真仲介サービスの制御メカニズムの操作の原因を特定するために内部検査を開始 7月23日:警察は、データをダウンロードした疑いのある男性を拘束し、最初の手続き上の措置を実行 7月23日:RIAは、脆弱性を修正した写真仲介サービスを再開。利用者は、これまで通り自分の身分証明書写真をダウンロード可能に 7月23-27日:RIAは、他のサービスで同様の攻撃の可能性をさらに確認 今回の事件で幸運だったのは、「容疑者がエストニア国内で活動していたため、早期に逮捕できたこと」と「ダウンロードされたデータが、容疑者が利用していたデータベースから他のコンピュータに送信された形跡がなかったこと」だと言えるでしょう。 ただし、データが他のコンピュータに送信された可能性を完全に排除できる段階ではないため、容疑者の犯行の動機などさらなる捜査・検証が必要になります。特に、オンライン面接等による本人確認(eKYC)などのサービスで悪用される可能性には、注意する必要があります。 事件が起きてしまったことは残念ですが、関係機関による日常的なセキュリティ監視と連絡連携が、適切に機能していることを確認できたことは、良い収穫だったのではないかと思います。
0 コメント
あなたのコメントは承認後に投稿されます。
返信を残す |
Categories
すべて
Archives
4 月 2022
|
RSS フィード