米政府が秘密にしている 200万件のテロリスト監視リストが流出した?

Secret terrorist watchlist with 2 million records exposed online

2021/08/16 BleepingComputer — 秘密のテロリスト監視リストがインターネット上に公開されたが、機密扱いの搭乗禁止 (no-fly) ステータスを含む 190万件の記録が詰め込まれている。このリストは、パスワードが設定されていない Elasticsearch クラスター上でアクセス可能な状態になっていた。

テロ監視リストの数百万人分が流出

2021年7月に、Security Discovery の研究者である Bob Diachenko  は、Elasticsearch クラスターで公開された大量の JSON レコードを見つけ、興味を持った。この 190万件のレコード・セットには、氏名/国籍/性別/生年月日/パスポート/no-fly ステータスなどの、機密の個人情報が含まれていた。公開されたサーバーは、検索エンジンの Censys と ZoomEye にインデックスされており、このリストを目にしたのは Bob Diachenko だけではなかったかもしれない。この研究者は BleepingComputer に対して、公開されたフィールドの性質 (パスポートの詳細や no_fly_indicator など) から、航空機への搭乗が禁止されているテロリストの監視リストのようだと述べている。さらに、tag / nomination type / selectee indicator といった、婉曲な表現のフィールドがあることにも気づいたが、彼にとっては、まったく理解できないものだという。

Diachenko は BleepingComputer の取材に対して、「データの性質からして、TSC_ID というフィールドから推測するのが唯一の妥当な解釈だ」と述べ、レコードセットの出所が Terrorist Screening Center (TSC) である可能性を示唆した。FBI の TSC は、テロ対策のために統合された情報を管理/共有するための組織であり、連邦政府の各機関による利用されている。この組織は、no-fly ステータス・リストを含む、Terrorist Screening Database という機密扱いの監視リストを管理している。このようなデータベースは、国家安全保障や法執行業務を支援する上で、きわめて重要な役割を果たすことから、本質的に高機密性の情報だとみなされている。国家安全保障上のリスクをもたらすテロリストや容疑者は、政府の判断で秘密の監視リストに登録されることになる。このリストは、航空会社や、国務省、国防総省、運輸保安局 (TSA)、税関・国境警備局 (CBP) などの複数の機関により参照され、搭乗者の飛行許可の有無や、米国への入国不許可の有無などの、対象者の活動に対するリスク評価に利用される。

DHS の通知から3週間後にサーバーがオフラインに

この研究者は、流出したデータベースを 7月19日に発見したが、興味深いことに、米国の IP アドレスではなくバーレーンの IP アドレスを持つサーバー上に、それは置かれていた。彼は、その日のうちに米国国土安全保障省 (DHS : Department of Homeland Security) に、このデータ漏洩を報告した。Diachenko は、「私は露出したデータを発見し、DHSに報告した。そのサーバーは、約3週間後の 2021年8月9日に停止した。そんなに時間がかかった理由は明らかではなく、権限のない者がアクセスしたかどうかも明確ではない」と報告書に書いている。

この研究者は、「ウォッチリストには、違法行為の疑いがあっても、必ずしも罪に問われていない人が掲載されている可能性があることから、今回のデータ流出は深刻だ。このリストが悪用されると、リストに載っている人々や家族に対する、弾圧/嫌がらせ/迫害などを引き起こす可能性がある。リストに名前を載せられた無実の人たちに、個人的にも仕事上でも、様々な問題を生じる可能性がある」と述べている。たとえば、情報提供者になることを拒否したことで、no-fly ステータス・リストに載ってしまうケースも、決して珍しいことではないようだ。Diachenko は、「今回の情報漏洩が、そのような人々や容疑者に対して、悪影響を及ぼす可能性がある。

TSC の監視リストは、きわめて大きな論議を呼んでいる。たとえば、ACLU (American Civil Liberties Union) は、政府が秘密にしている no-fly ステータス・リストが、適正な手続きを経ずに使用されることに、長年にわたって反対している」と述べている。なお、このリストを流出させたサーバーが、米国政府機関のものであるのか、また、第三者のものであるのかは確認されていない。BleepingComputer では、FBI に問い合わせを行い、その回答を待っている状況だ。

検索してみたら Terrorist Screening Center が直ぐに見つかりました。なにやら、秘密めいた名前ですが、911 事件のことを考えると、こうして米国民に訴えることも必要なのでしょう。それにしても、no-fly ステータスというのは、かなり露骨ですね。なお、この情報が置かれていたとされる Elasticsearch ですが、脆弱性情報を拾っていると、たまに見かけることのある製品です。Qiita には「オープンソースの全文検索エンジンであり、大量のドキュメントから目的の単語を含むドキュメントを高速に抽出することができる」と紹介されています。

%d bloggers like this: