Japan Estonia/EU Association for Digital Society
  • Home
  • About JEEADiS
  • News&Blog
    • Information / Press Release
    • JEEADiS Blog
    • Estonia Tips
  • Registration
  • Contact
    • Privacy Policy
  • e-Residency FAQ
  • English
    • e-Residency FAQ

JEEADiS Blog

エストニアにおける身分証明書写真の違法ダウンロードについて

6/8/2021

0 コメント

 
経済通信省の政府機関で、国の電子政府インフラサービスの開発・管理、政府のサイバーセキュリティなどを担当する、エストニア情報システム局(RIA)から「身分証明書写真の違法ダウンロード」について、2021年7月28日に報道発表がありました。

RIAでは、7月20日に政府ポータルの企業サービスにおける従業員のアクセス権限管理(代理機能)について、従業員データの管理不備(不適切なアクセス制御)があったことが発表されたばかりです。

エストニア情報システム局(RIA)は、日本で9月にスタートするデジタル庁と機能が重なる部分も多いので、日本のデジタル庁の役割を考える上で何かの参考になればと思います。


(1)事件の概要

「身分証明書写真の違法ダウンロード」についての概要は、次の通りです。
​
  1. 偽造されたデジタル証明書を使用して「身分証明書データベース」から286,438人未満の写真データがダウンロードされた。
  2. ダウンロードされたデータセットには、写真データ、氏名、個人識別コードが含まれている。
  3. ダウンロードされたデータセットは、容疑者のコンピューターに到達していなかった。
  4. 警察は、すでに容疑者を逮捕・勾留し、事件の状況を立証するために刑事手続きを開始した。(検察は、勾留の必要性が無いと判断し容疑者を釈放)
  5. 容疑者は、警察国境警備局が管理する「身分証明書データベース」への不正アクセスを試みたがアクセスできなかった。
  6. 容疑者は、RIAが管理する写真仲介サービス(本人からのリクエストに応じて、身分証明書DBから写真データを提供するアプリケーション)を利用して、違法に写真データをダウンロードした。
  7. 写真仲介サービスのセキュリティの脆弱性が悪用されて、今回の違法ダウンロードが実行された。
  8. RIAは、誤用が発見された直後に写真仲介サービスを停止し、セキュリティ上の欠陥を修正した。
  9. RIAの責任者は、「このようなセキュリティの脆弱性があり、これまで発見されていなかったこと」を公式に謝罪した。
  10. 警察は、写真が違法にダウンロードされたすべての人に対して、政府ポータルを経由して、公的電子メールアドレス宛てに通知を送った。
  11. 発行されている身分証明書やデジタルIDは、これまで通りに使えるため、新しい写真を撮ったり、新しい身分証明書を申請したりする必要はない。


(2)悪用されたセキュリティの脆弱性

写真仲介サービスは、写真を取得するために5つのサブシステムによる追加の検証が必要になるように構成されていましたが、容疑者は、リクエストの正当性を適切に検証していないアプリケーションの脆弱性を発見し、これを悪用しました。その結果、容疑者は、個人名と個人識別コードの情報だけで、あたかも本人が自分の写真をリクエストしたようにシステムに誤った認識をさせて、写真仲介サービスから写真をダウンロードすることに成功したようです。

RIAの専門家は、同様のセキュリティ脆弱性を排除するために、写真仲介サービス以外のサービスについてもテストして、攻撃の可能性は検出されませんでしたが、引き続き検証・
監視を続けるとしています。

今回の事件では、「偽のデジタル証明書を使用」とありますが、その詳細についての発表は今のところありません。考えられるのは、証明書の検証が不十分だったので「(本人の氏名と個人識別コードを含む)なんちゃってデジタル証明書」を「本人の正式なデジタル証明書」とシステムに認識させることが可能だったのではないかと推測されます。


(3)事件の発覚と対応の流れ

7月16日:認証サービスを管理する「SK ID Solutions」が、リクエスト数の増加をRIAに通知
7月21日:RIAは、追加の監視を通じて身分証明書DBからの写真データの大量ダウンロードを検出し、サービスを停止
7月22日:RIAは、ドキュメント内の写真がダウンロードされた可能性のあるIPアドレスを記録し、その情報を警察に転送
7月22日:RIAは、写真仲介サービスの制御メカニズムの操作の原因を特定するために内部検査を開始
7月23日:警察は、データをダウンロードした疑いのある男性を拘束し、最初の手続き上の措置を実行
7月23日:RIAは、脆弱性を修正した写真仲介サービスを再開。利用者は、これまで通り自分の身分証明書写真をダウンロード可能に
7月23-27日:RIAは、他のサービスで同様の攻撃の可能性をさらに確認

今回の事件で幸運だったのは、「容疑者がエストニア国内で活動していたため、早期に逮捕できたこと」と「ダウンロードされたデータが、容疑者が利用していたデータベースから他のコンピュータに送信された形跡がなかったこと」だと言えるでしょう。

ただし、データが他のコンピュータに送信された可能性を完全に排除できる段階ではないため、容疑者の犯行の動機などさらなる捜査・検証が必要になります。特に、オンライン面接等による本人確認(eKYC)などのサービスで悪用される可能性には、注意する必要があります。

事件が起きてしまったことは残念ですが、関係機関による日常的なセキュリティ監視と連絡連携が、適切に機能していることを確認できたことは、良い収穫だったのではないかと思います。
0 コメント

あなたのコメントは承認後に投稿されます。


返信を残す

    Categories

    すべて
    Digital Euro
    E Government
    E Health
    E Residency
    E School
    E Sign
    E-sign
    Estonia Infomation
    EU
    Event/Seminar
    Hackathon
    Security
    Smart City
    Startup

    Archives

    4 月 2022
    3 月 2022
    2 月 2022
    12 月 2021
    10 月 2021
    9 月 2021
    8 月 2021
    7 月 2021
    6 月 2021
    4 月 2021
    2 月 2021
    1 月 2021
    12 月 2020
    10 月 2020
    9 月 2020
    8 月 2020
    6 月 2020
    5 月 2020
    4 月 2020
    3 月 2020
    2 月 2020
    1 月 2020
    12 月 2019
    11 月 2019
    10 月 2019
    9 月 2019
    8 月 2019
    7 月 2019
    6 月 2019
    5 月 2019
    4 月 2019
    3 月 2019
    2 月 2019
    1 月 2019
    5 月 2018
    4 月 2018
    3 月 2018
    2 月 2018
    1 月 2018
    12 月 2017
    10 月 2016
    9 月 2016
    8 月 2016
    5 月 2016
    4 月 2016
    3 月 2016
    2 月 2016
    1 月 2016
    9 月 2015
    8 月 2015
    7 月 2015
    5 月 2015
    4 月 2015
    3 月 2015
    3 月 2014

    RSS フィード

一般社団法人 日本・エストニアEUデジタルソサエティ推進協議会
Japan & Estonia EU Association for Digital Society
 ( 略称 JEEADiS : ジェアディス) 
About us
Privacy Policy
特定商取引法に基づく表記

日・エストニア関連リンク
- 駐日エストニア共和国大使館
- 日本・エストニア友好協会
日・EU関連リンク.
- EU MAG(Europe Magazine)
免責事項
本ウェブサイトの情報は、一部のサービスを除き、無料で提供されています。当サイトを利用したウェブサイトの閲覧や情報収集については、情報がユーザーの需要に適合するものか否か、情報の保存や複製その他ユーザーによる任意の利用方法により必要な法的権利を有しているか否か、著作権、秘密保持、名誉毀損、品位保持および輸出に関する法規その他法令上の義務に従うことなど、ユーザーご自身の責任において行っていただきますようお願い致します。
当サイトの御利用につき、何らかのトラブルや損失・損害等につきましては一切責任を問わないものとします。
当サイトが紹介しているウェブサイトやソフトウェアの合法性、正確性、道徳性、最新性、適切性、著作権の許諾や有無など、その内容については一切の保証を致しかねます。
当サイトからリンクやバナーなどによって他のサイトに移動された場合、移動先サイトで提供される情報、サービス等について一切の責任を負いません。
Copyright (c) 2015 Japan Estonia/EU Association for Digital Society
  • Home
  • About JEEADiS
  • News&Blog
    • Information / Press Release
    • JEEADiS Blog
    • Estonia Tips
  • Registration
  • Contact
    • Privacy Policy
  • e-Residency FAQ
  • English
    • e-Residency FAQ