新たなセキュリティ欠陥がソマリアのEビザシステムを脅かす
ソマリアの電子ビザ・プラットフォームで新たに発見された脆弱性により、多数の渡航者の個人情報保護に関して重大な警鐘が鳴らされている。この発覚は、同国が数万人規模の申請者の情報が侵害された重大なデータ漏えいを認めてから、わずか数週間後のことだ。
脆弱性の詳細
報道によれば、ソマリアのEビザシステムには重要なセキュリティ対策が欠けており、権限のない人物が機密文書にアクセスして取得することが驚くほど容易になっているという。懸念されているのは、パスポート情報、氏名、生年月日といった機微なデータを含む相当数のビザ関連ファイルが、最小限の手間でダウンロードできてしまう可能性がある点だ。
アルジャジーラは、ウェブ開発の専門知識を持つ人物からの情報提供を受け、このセキュリティ欠陥を確認した。この情報源は、Eビザ・プラットフォームが悪用され、極めて機密性の高い情報を大量に取得できることを示した。
無視された警告と独立した検証
内部告発者は、露出していたデータの証拠をアルジャジーラに提供し、以前にもこの脆弱性についてソマリア当局に警告していたことを明らかにした。こうした通報にもかかわらず、当局からの反応はなかったとされ、欠陥は未対応のままだったようだ。
主張を検証するため、アルジャジーラは報告された脆弱性を再現するテストを実施した。その結果、記者は短時間のうちに複数の人物のEビザをダウンロードできた。露出していたデータには、ソマリア、ポルトガル、スウェーデン、米国、スイスなど、さまざまな国の申請者が含まれていた。
デジタル権利団体Access Nowの上級政策アナリスト、ブリジット・アンデレは、この種の侵害の深刻さについて言及した。機微な個人情報の露出は、なりすましや詐欺の可能性など重大なリスクをもたらすと指摘する。こうしたデータ侵害の影響は単なる技術的問題にとどまらず、個人の安全とプライバシーに深刻な形で及ぶ。
既存のサイバーセキュリティ問題という背景
今回のEビザの欠陥は、同じシステムに対する大規模なサイバー攻撃をソマリア当局が報告してから、わずか1か月後に表面化した。前回の侵害では、3万5,000人超の申請者に影響する個人情報の漏えいを受け、米国および英国政府が警告を発していた。
その際、在ソマリア米国大使館は、侵害されたデータに申請者の氏名、写真、生年月日、自宅住所が含まれていたと明らかにした。侵害後、ソマリア移民・市民権庁(ICA)は、セキュリティ強化の取り組みの一環だとして、Eビザ・プラットフォームを新たなインターネットドメインへ移転すると発表した。11月16日には、当局が先の侵害の調査を特に重視していると述べていた。しかし、新たな脆弱性は、根本的なセキュリティ問題が十分に解決されていない可能性を示している。
安全性の主張と法的義務の衝突
最新の発見を受ける中、ソマリアのアフメド・モアリム・フィキ国防相はEビザシステムを公に称賛し、継続中の軍事作戦においてISIS戦闘員の不法入国を阻止する役割を果たしていると主張した。
しかし、ブリジット・アンデレは政府の対応に懸念を示した。重大なデータ侵害を経験した後にもかかわらず、適切な安全対策なしにEビザシステムを推し進める判断は、公的な信頼と個人の権利を軽視する憂慮すべき姿勢を示しているという。彼女はまた、ソマリアのデータ保護法で義務付けられている重大侵害に関する正式な通知が欠如している点を批判した。
これらの規則によれば、データ管理者は侵害を国家当局に報告しなければならず、高リスクの状況では影響を受けた個人にも通知しなければならない。アンデレは、影響を受けた当事者が多国籍にわたる性質を踏まえ、より強化された保護措置が講じられるべきだと強調した。
アルジャジーラは、現時点の脆弱性が未対応であることから、具体的な技術的詳細の共有を控えている。侵害の影響を受けた人々のプライバシー保護を優先し、調査中に取得した機微な情報はすべて破棄された。
この継続する状況は、ソマリアが自国民および国際的な渡航者双方の個人データを守るため、サイバーセキュリティ防御を強化することが急務であることを浮き彫りにしている。
