シリコンバレーの大物投資家ピーター・ティールが共同設立した招待制のイベント団体「Dialog」。テック企業の創業者、ハリウッドの俳優、ヘッジファンドのマネージャーといった有力者が集う閉ざされた場だ。
そのDialogのウェブサイトに、驚くほど単純なセキュリティ上の欠陥があった。
「誰でもアクセスできた」222人分の個人データ
Wiredの調査報道によると、Dialogのウェブサイトに設定ミスがあり、メールアドレスさえあれば誰でもアカウントを作成してログインし、会員222人分の個人情報にアクセスできる状態だったという。
流出した情報には、生年月日・自宅住所・携帯電話番号・顔写真・政治的傾向に加え、Dialogが会員に対して行ったアンケートへの回答まで含まれていた。テック創業者や著名人のデータだけでも問題だが、さらに深刻なのは、その中に米国の現職情報官と特殊作戦軍の現役将校が含まれていたことだ。
ペンタゴンが調査を開始した理由
流出したデータの中には、ホワイトハウスの国家安全保障会議(NSC)に所属する情報官——元CIA職員と報じられている——の詳細なプロフィールが含まれていた。トランプ大統領と国家安全保障担当補佐官に機密情報を提供する立場の人物だ。
もう一人は「ティア1」特殊作戦部隊に配属された現役の情報将校。米軍でもっとも機密性の高い任務を支える部隊の関係者だ。
こうした情報は外国の諜報機関にとって喉から手が出るほど欲しいものだ。米国の工作員を特定・監視・接触するために使われる可能性があり、ペンタゴンの作戦保全チームが調査に乗り出す事態となった。
「サイバー攻撃」ではなく、ただの設定ミス
Dialogは内部でこの事態を「サイバー攻撃」と位置づけているが、Wiredの調べでは高度なハッキングの痕跡はなく、単にウェブサイトの設定ミスが原因だったとされている。アプリのランディングページにログインするだけでファイルにアクセスできてしまう状態だった。
この欠陥を最初に発見したのは、スイス在住のDJ兼セキュリティ研究者であるmaia arson crimew氏。どのくらいの期間この状態が続いていたのか、他に誰がデータを取得したのかは不明のままだ。
Dialogの外部弁護士はWiredに対し、データは「盗まれたもの」だとしてコピーの引き渡しを要求する書簡を送ったが、Wiredはこれを拒否している。
「超富裕層の情報管理」の皮肉
ピーター・ティールといえば、Palantirという世界最大級のデータ分析企業の共同設立者でもある。政府機関の監視・情報活動を支えるテクノロジーを提供する会社のトップが、自分のイベント団体では基本的なウェブサイトの設定ミスを放置していたという皮肉は見逃せない。
国家安全保障の専門家の個人情報が「誰でもアクセスできるウェブサイト」から漏れるのだとすれば、一般市民の個人情報がどれほど危うい状態にあるかは推して知るべしだろう。
