セキュリティ
敵対勢力が商業追跡データを悪用したことを受け、議員たちが国防総省にスマートフォン管理の強化を求める
戦地にいる兵士の位置情報を入手するのは、合法的な企業からデータを購入するだけで済むかもしれない。アメリカの外国敵対勢力が米軍兵士に紐づいた商業的な位置情報データを悪用していたことを国防総省が認め、中東での米軍人の標的化や監視に利用されていたことが明らかになった。それにもかかわらず、国防総省は情報の保護に向けた動きが遅すぎると、選出された議員たちは指摘する。
上院議員ロン・ワイデン(民主党・オレゴン州)、下院議員パット・ハリガン(共和党・ノースカロライナ州)、そして十数名の議会メンバーは木曜日、国防総省最高情報責任者(CIO)のカーステン・デイヴィスに書簡を送り、米軍各部門におけるスマートフォンのセキュリティ姿勢の見直しを求めた。書簡には、商業的な位置情報データが実際の交戦地域で米軍人の標的化や監視に使用されたことを示す、議員たちが「初めての公式確認」と述べる内容が含まれている。この情報は4月にワイデン議員の事務所に共有されていた。
情報の公開が遅れた理由について、ワイデン議員チームはThe Registerに対し、「公開を制限するマーキングが付されていた」ためと説明した。ワイデン議員はこれに異議を唱えたとされ、その結果として今回の書簡と添付された国防総省からの回答書〔PDF〕が公表されることになった。回答書では、商業データブローカーから購入した情報が兵士の標的化に使用されたことが確認されている。
「USCENTCOM(米中央軍)は、敵対勢力が商業的な位置情報データを悪用して作戦地域内の米軍人を標的にしたり監視したりしているという複数の脅威報告を受けている」と、4月付の国防総省の回答は示している。
データブローカーがどのようにして敵対勢力が兵士とその行動を追跡できるデータにアクセスしたかといえば、商業ブローカーからデータを購入する誰もが利用するのと同じ手段によるものだ——スマートフォンの広告プロファイルである。
ワイデン議員の書簡に含まれる国防総省の回答によると、米軍人は作戦地域内で個人所有のデバイスを使用することが許可されているだけでなく、実際の交戦地域に所在する際にデバイスの位置情報機能をオフにすることを義務付けるポリシーが存在しないという。
「USCENTCOMの位置情報リスクガイダンスは、不要な際には位置情報機能を無効にすること、デバイスおよびアプリのプライバシー設定を定期的に見直すこと、情報の公開共有を制限することを要員に指示している」と国防総省は先月述べる一方で、そのようなガイダンスがスマートフォンの位置情報を常に完全に無効化できるわけではないことも認めた。
個人所有デバイスに加えて、国防総省が支給するスマートフォンも広告プロファイルを無効化していない。
「パーソナライズド広告の設定は、モバイルデバイス管理サーバーのグループポリシーによって無効化されている」と国防総省はワイデン議員チームに回答した。「ただし、広告ターゲティング情報は無効化されておらず、ユーザーが編集できる状態にある。」
これはあまり明快な回答とは言えず、ワイデン議員チームに見解を問うたところ、私たちの評価に同意した——ペンタゴンのMDMはユーザーへのパーソナライズド広告の配信を無効化するが、デバイスの広告IDやその他の関連データの送信は停止しないというものだ。
国防総省は回答の中で、政府支給デバイスの位置情報サービスを完全に無効化できる新しいMDMソリューションへの移行を進めており、5月初旬の完了を目標としていると述べたが、移行が完了したかどうかは現時点では不明だ。ペンタゴンは私たちの質問に一切回答せず、ワイデン議員には返答するが私たちには返答しないと述べるにとどまった。
また、少なくとも一部の部門では国防総省が政府支給デバイスを段階的に廃止してより広範なBYODポリシーに移行しようとしているため、MDM移行がどれほど効果的かも不明だ。今月初旬の米陸軍のプレスリリースによると、陸軍は今月末を目標に陸軍管理の業務用スマートフォンを返却させるとしており、「接続の主要かつ優先される方法は、私物端末の業務利用(BYOD)プログラムだ」と述べている。
CENTCOMは担当作戦地域において位置情報管理を強化したと報じられているが、一般の兵士、水兵、航空兵、海兵隊員がそれに従っているかどうかは示されていない。
これほど長い間、知っていたというのか?
軍事資産の機密位置情報データの漏洩を防げなかったことも、新たな問題であれば許容できたかもしれない。しかしワイデン議員の書簡によれば、そうではない——ペンタゴンはおそらく10年前からこの問題を認識していたのだ。
書簡によると、政府の請負業者が軍幹部に対し、軍人が所有するスマートフォンを追跡することがいかに容易かについてブリーフィングを行ったのは、早くも2016年のことだという。
「国防総省の当局者たちは、この防諜・部隊防護上の脅威を五段階警報の最高レベルの問題として扱ってこなかった」と書簡は主張し、ペンタゴンは「この脅威を10年以上前から認識していたにもかかわらず、制服を着た我が国の男女を守るための具体的な措置を講じることを怠ってきた」と付け加えている。
ずさんな位置情報管理が軍事作戦を危うくした事例がなかったわけでもない。ワークアウト追跡アプリStravaから収集されたデータは、基地内でジョギングする米軍人のルートの特定に使用されており——また警護担当者のずさんなセキュリティ慣行によってフランスのエマニュエル・マクロン大統領の位置情報まで露呈した——ソーシャルメディアもOPSEC上の災害を招きかねないとして警告されてきた。
そうした数々の事例と10年以上前に遡るブリーフィングにもかかわらず、問題はイランでの最新の作戦に至るまで続いている。
「外国の敵対勢力が今もなお軍事的な紛争地帯に配備された米軍人のスマートフォンから収集された位置情報データを購入できているのは、この脅威の優先化と常識的なサイバー防衛策の実施を怠った国防総省指導部の失敗の直接的な結果だ」と書簡は批判している。今後何らかの対策が講じられるかどうかは、まだわからない。®
ITを養う手を噛む
