piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

エストニアで発生した顔写真データの違法ダウンロードについてまとめてみた

2021年7月28日、エストニア国家情報システム庁(RIA)、警察・国境警備局は国が運営するシステムから顔写真データの違法なダウンロードが行われたことを公表しました。警察は既に容疑者を摘発しており既に刑事手続きに入っていることも併せて公表されています。ここでは関連する情報をまとめます。

顔写真流出による発行済みIDへの影響無し

  • 容疑者によってダウンロードされた顔写真は286,438枚で、エストニア全国民の約21%(2021年時点で約133万人)にあたる。但し、今回の顔写真流出を受けてIDカード、モバイルID、スマートIDへの影響はないとされており、発行済みの身分証明書、顔写真は引き続き有効とされた。これは顔写真や個人識別コードだけでeサービスへのアクセスやデジタル署名の付与、銀行口座などの金融取引を実行することはできないためとされる。
  • 影響を受けた約29万人へは国が運営するポータルサイト(EESTI.EE)を介して登録されたメールアドレス宛に通知が行われた。*1当局の捜査で容疑者端末から外部へデータが送信されていなかったことが判明しており、RIAは今回の通知を受けても特段のアクションを取る必要はないと案内を行っている。また警察が行った予備調査において流出した情報の悪用は確認されていないものの、顔写真、氏名、個人識別コードの3点から写真使用者を特定するサービスやSNSで悪用される恐れはあるとして、不正利用された懸念がある場合は警察へ通報するよう呼びかけられている。

大量のなりすましクエリで顔写真取得

  • 顔写真が保管された身分証明書のデータベースへ直接アクセスされたわけではなく、容疑者は偽造したデジタル証明書を使用し、RIAが管理する写真転送サービスを通じて個別のクエリを発行し写真の取得を行っていた。そのためシステム運用の企業によりクエリ数が多いことが検知されている。今回問題となった脆弱性を含んだこのサービスは数年前に稼働を開始しており、RIAは「古いサービスの1つ」という表現を使っている。
  • 本来は写真転送サービスを利用するためにサブシステムによる5つの追加審査が必要な作りとなっていたが、取得クエリに対して十分な有効性検証を行っていない脆弱性が審査システムに存在していた。容疑者の犯行手口は特別な知識、技術そして準備が必要とRIAは評価を行っており、当局の調査中としつつも現時点で同様の手口が行われたケースは確認されていないとしている。なお事案発覚後に問題のサービスは一時的に停止されており、脆弱性の修正が行われた上で既に再稼働している。
  • 取得対象とする本人になりすましたクエリを実行する必要があったことから予め手元に氏名と個人識別コードの2つが必要であり、今回の捜査で容疑者がその2つのデータセットを保有していたことが明らかになっている。容疑者が何故そのようなデータセットを持ち合わせていたかは捜査中だが、RIAはこれらは公開データであるとして商業登記簿、土地登記簿などの公開データベースからも入手することはできると説明。なお、最低でも顔写真が取得された件数と同数は容疑者が保有していたことになるが、容疑者の端末上で確認された件数については公表されていない。
  • 今回顔写真に影響が限定された理由として、RIAは全国民の一元的なデータベースが存在しないことを挙げている。各当局において、担当する業務に必要な国民のデータのみを保管するデータ分離の原則により、今回の脆弱性の様にシステムに何らかの問題が生じた際も一度にすべてのデータを取得することを防止している。
f:id:piyokango:20210805175729p:plain
容疑者が行った顔写真ダウンロードの手口

異常検知から1週間で逮捕

  • 今回犯行に及んだ容疑者はIPアドレスからの追跡が可能であり、かつエストニア国内にいたことから、RIAが異常を把握してから1週間後の逮捕となった。警察の捜査を通じて、単独犯であったことや更なる犯行の兆候がないことなどから検察が拘留の必要はないと判断している。
  • 大量に顔写真を取得した動機は捜査中として明らかにされていない。またRIAはセキュリティ機能が担保されていない資料偽造を行う上で顔写真、氏名、個人識別コードを使うケースがあげられるが、顔写真はどのような種類の写真でも実行可能であると補足している。

関連タイムライン

日時 出来事
2021年7月16日 SK ID SolutionsがRIAへクエリ数の発行が多いことを通知。
2021年7月21日 RIAは強化した監視を通じ身分証明書データベース(KMAIS)から大量のデータダウンロードを検出。サービスを停止。
2021年7月22日 RIAは顔写真のダウンロードを行った疑いのあるIPアドレスを追跡し警察へ共有。
同日 RIAは問題の行為が可能であった理由を特定するための内部調査を開始。
2021年7月23日 警察は容疑者として男をタリンで逮捕し刑事手続きを開始。
同日 RIAは国民が顔写真をダウンロード可能とするよう停止していたシステムを再開。*2
2021年7月23日~27日 RIAが他のサービスでも同様の手口による影響がないかを調査。
2021年7月28日 RIA、警察が事案について公表。

更新履歴

  • 2021年8月6日 AM 新規作成

*1:未成年者が対象となった場合など、保護者はポータルサイトへログインを行うことで確認することが出来ると案内が行われている。

*2:同日までに脆弱性の特定、修正が行われたとみられる。