ロシアの国内監視事情に震えるがいい!
カリフォルニアに本拠を置くサイバーセキュリティ企業が9月18日、通信システム関連の内部データがネット上で一般公開されていることを明らかにています。同社の調査員が発見した1.7TB以上もの公開ファイルの中には、ロシア全土で使われる合法的な監視システムの仕様が含まれていました。
ロシアでは国内監視が合法的に運用されている
UpGuardに所属する情報漏洩ハンターの発見を最初に伝えたのはTechCrunchです。キャッシュからは、主要インフラに関する詳細文章が確認できました。その中には、ロシア当局が電話やインターネットなんかの通信データをひそかに収集するための通信傍受デバイスの記載も。
文書は主に、ロシア最大の電気通信事業者Mobile TeleSystems(MTS)と、MTSのネットワークの維持/更新を請け負うNokiaに関するもののようです。
西側諸国では「SORM」あるいは「スパイ調査活動システム」として知られる同通信傍受デバイスは、ロシアの国内監視において重要な役割をにないます。ロシアのセキュリティ機関FSB(旧KGB)により使用が承認されていて、デバイスの設置と保守は法律により通信事業者に委任されます。
初代デバイスが開発されたのは1995年。 2014年に開発された最新バージョンでは、通信データを詳細に検査してログの記録や検閲ができる「ディープ・パケット・インスペクション(DPI)」機能も備わっていることがわかっています。
当局がデータにアクセスし放題
プーチン大統領の警護機関SBPや、そのほかの機関もSORMが収集したデータを利用する可能性があります。ロシアのデジタル著作権の専門家はTechCrunchに、一般的にSORM関連の仕事は特別扱いだと語っています。
じつは、数多くの国家が通信プロバイダーに、特定のデータを保持することやリアルタイムで盗聴するためのテクノロジーを設置することを要求しています。データプライバシー保護の範囲は国によってさまざまで、データが強力に保護される国もあれば、警察によるデータへのアクセスを取り締まる規則のない国もあります。
2016年にヤロヴァヤ法が通り、ロシアの電気通信事業者はテキストメッセージや電話による会話、その他の通信を、最大6カ月間保存しておくことが義務づけられました。メタデータに関しては最大3年間です。当局がこれらの情報にアクセスする際には、裁判所命令は求められません。
アメリカでは、いくつかの特別な状況を除いて、法執行機関が同様の情報にアクセスする前には令状が必要です。特定の”国家安全保障”を理由とする免除はあり、その際はFBIなどの機関が令状なしにネットや電話のデータを収集できます。また別のパターンとして、181日以上サーバーに保存されたメールは、「Stored Communications Act(SCA:オンラインに保存された情報に関するプライバシー保護を規定する法令))」にもとづいて、令状なしにアクセスできるケースがあります。
致命的な凡ミスからの情報漏洩

UpGuardは、公開データはセキュリティ保護のかかっていないバックアップデバイスに保存されてたこと、その大半がNokiaのものだったことを報告しています。後に、Nokiaの従業員がデータを、どこの馬の骨とも知れないサードパーティ業者に引き渡したことが判明。この業者は会社の業務手順、セキュリティポリシー、そして個人的な責任感のすべてに従い損ねたようです。
UpGuardによると、9月13日の時点でデータへのアクセスはできなくなったようです。
「影響力と機密性あるSORMシステムに関連するデータを公のインターネットに公開したのは一大事です」とUpGuardは声明で述べています。「国内最大の通信プロバイダー向けに設置した、最新ハードウェア一覧と思われる情報が漏洩するのは前代未聞です。」
UpGuardのレポートはここから確認できます。UpGuardが、監視システムのセキュリティ脆弱性を指摘したりしてて興味深いです。SORMの写真なんかもあるよ!
Source: TechCrunch