カリフォルニアに拠点を置くセキュリティ会社は水曜日、同社の研究者らが、ロシア連邦全土で使用されている合法的な監視装置のハードウェア仕様書など、オンライン上に公開された1.7テラバイトを超える機密通信データを発見したことを明らかにした。
TechCrunchは、UpGuardで働くデータ侵害ハンターが発見した流出ファイルについて最初に報じました。キャッシュの中には、ロシア当局が電話やインターネットの通信を密かに収集するために使用する合法的傍受機器の設置を含む、大規模なインフラプロジェクトの詳細を記した文書が含まれていたと報じられています。これらの文書は、主にロシア最大の通信会社であるMobile TeleSystems(MTS)と、MTSのネットワークを保守・更新するNokiaに関するもののようです。
西側諸国では「SORM」(作戦的捜査活動システム)として知られるこれらの装置は、ロシア国内の監視活動の重要な一環となっている。ロシア連邦保安庁(FSB、旧KGB)の使用が承認されており、ロシア法では通信事業者にこれらの装置の設置と保守を義務付けている。最初の装置は1995年に開発された。2014年に導入されたSORMの最新バージョンは、ディープ・パケット・インスペクション(DPI)も実行できると報じられている。
ウラジーミル・プーチン大統領の個人警護機関であるSBPを含む他のロシア機関も、SORMが収集したデータを利用する可能性がある。ロシアのデジタル権利に関する専門家はTechCrunchに対し、SORM関連の業務は通常機密扱いであると語った。
数十カ国が通信事業者に対し、特定のデータの保管とリアルタイム盗聴技術の導入を義務付けています。プライバシー保護は、国によって厳格に保護されているところもあれば、警察のアクセスを制限する規則が存在しないところもあります。2016年に成立したヤロヴァヤ法により、ロシアの通信事業者はテキストメッセージ、通話記録、その他の通信を最大6か月間保存することが義務付けられました。メタデータも同様に最大3年間保存されます。当局は、これらのデータにアクセスするために裁判所の命令を必要としません。
米国では、法執行機関が同様の情報にアクセスするには、ごく一部の状況を除き、通常、相当の理由に基づいて発行された令状が必要です。ただし、FBIなどの機関は「国家安全保障」に関する例外規定に基づき、令状なしでインターネットや電話のデータの一部を取得できます。また、遠隔地で181日間以上保存された電子メールも、保存通信法に基づき令状なしで取得できる場合があります。
UpGuard は、漏洩したデータは保護されていないバックアップ デバイスに保存されており、主に Nokia の所有物であったと思われると報告している。その後、Nokia の従業員が匿名の第三者にデータを引き渡したことを確認したが、その第三者は「会社のビジネス プロセス、セキュリティ ポリシー、およびデータを保護する個人的責任に従わなかった」という。
UpGuardは、9月13日時点でデータは一般公開されなくなったと報告した。
「SORMの威力と機密性を備えたシステムに関連するデータが公共のインターネットに公開されるのは、重大な出来事です」とUpGuardは声明で述べた。「国内最大手の通信事業者向けに導入された最新世代のハードウェアのインベントリと思われるものが漏洩したとは、前例のないことです。」
UpGuard レポート全文は、こちらでご覧ください。
[テッククランチ]
