Howdy! How can we help you?
(thenewhumanitarian.org)WFPへのサイバー攻撃でガザの60万世帯のデータが流出
「これにより、脆弱な立場にある人々はさらに不安を感じることになる」
ジェイコブ・ゴールドバーグ 調査報道担当編集者兼記者
アーウィン・ロイ 政策担当編集者
タイ・バンコクおよびスイス・ジュネーブ
国連食糧計画(WFP)を標的としたサイバー攻撃により、ガザ地区の約60万世帯に属する機密性の高い個人情報が流出していたことが、同機関によって確認された。これは、これまで知られている中で最大規模の人道支援対象者データ漏洩事件となる可能性がある。
WFPは、ガザ地区のパレスチナ人が提出した個人情報に「不正アクセス者」がアクセスした「セキュリティ関連のインシデント」について調査中だと、5月31日にTelegramを通じて支援受給者に送付した声明で明らかにした。
声明によると、流出した情報には氏名、ID、携帯電話番号、位置情報が含まれていた。
WFPは6月2日にこのデータ漏洩を確認した。「WFPは最近、パレスチナ向けの自己登録アプリケーション(SRA)への不正アクセスを検知した。このアプリケーションでは、個人が本人確認を経て食料や現金支援の受給登録を行うことができる」と、広報担当者は『The New Humanitarian』の質問に答える声明で述べた。「WFPは直ちに措置を講じ、プラットフォームを停止し、侵入を封じ込めるとともに、さらなる情報流出を防ぐためセキュリティ対策を強化した。」
ガザでは200万人以上が、WFPの自己登録アプリケーション「ピープル・ポータル」に個人情報を提出している。WFPは、このシステムが登録手続きの煩雑さを解消し、対応時間を短縮したと評価している。広報担当者は、漏洩したデータは「パレスチナでのみ使用されているSRAアプリケーションに限定されている」と述べた。
調査は進行中であり、犯行声明を出した団体はないとWFPは述べた。
WFPによると、サイバー攻撃は5月14日に発生した。影響を受けたガザ住民へのTelegramメッセージは、攻撃から17日後に送信された。
デジタルセキュリティの専門家によると、援助団体はますます高度なハッキングやサイバー攻撃の標的となっている。これまで知られている人道支援データ漏洩事件の中でも最大規模の一つとして、国際赤十字委員会を標的とした2022年のハッキングでは、51万5000人分の機密個人情報が流出している。翌年、ノルウェー難民評議会は、一国のプロジェクト参加者数千人の情報を含むデータベースがサイバー攻撃の標的となったと発表した。過去には、国連もサイバー攻撃を公表しなかったことで批判を浴びたことがある。
「これは非常に恐ろしく、不測の事態が起きる可能性がある時期だ。この法律やデータが文字通り人々に対する武器となり、人々を追跡し、危害を加えるために利用される恐れがある。」
5月31日に『The New Humanitarian』と連絡を取った匿名の内部告発者によると、WFPの受益者フィードバック・メカニズムは、侵害が発生する2日前に「独立した専門家」からSRAの脆弱性に関する警告を受けていた。同告発者は、その専門家の身元は知らないと述べた。
WFPのパレスチナ現地チームはこの警告をローマの本部に伝えた。本部のサイバーセキュリティチームは、脆弱性は解決済みであると職員に保証した。内部告発者によると、情報漏洩は同日に発生したが、判明したのはその1、2日後だったという。
内部告発者は、ガザの住民に対し、個人データが流出していたことをなぜWFPが2週間以上も待ってから通知したのかと疑問を呈した。そのデータは具体的な位置を特定し、危害を加えるために利用される恐れがあった。また、5月31日時点でWFPは「リスク評価を行っておらず」、「ガザの人々に対するセキュリティリスクを評価・軽減するための明確な取り組みも行っていない」と付け加えた。イスラエル軍は、WFPからの支援を求めていたパレスチナ人を数百人殺害している。
WFPは、情報漏洩の日付以外については、タイムラインに関する具体的な質問には答えられないと述べた。
この情報漏洩は、イスラエルによる物議を醸す取り組み、すなわち、援助活動従事者の雇用主がパレスチナへのアクセスを得るための条件として、活動従事者の個人情報を取得しようとする動きの中で発生した。イスラエル最高裁は5月20日、この要件を支持し、各団体に対し30日以内にこれに従うか、さもなければヨルダン川西岸地区およびガザでの活動を終了するよう命じた。
「この法律やデータが文字通り人々に対する武器となり、追跡や危害を加えるために利用されかねない、非常に恐ろしく予測不可能な時期に起きた」と、WFPの声明を受け取ったガザの人道支援活動家は語った。同氏は安全上の理由から匿名を希望し、さらに「そして、それが漏洩してしまった」と付け加えた。
実績の乏しい分野
バージニア大学のメディア研究・データサイエンス助教授であるアーロン・マーティンは、援助団体を襲った新たなデータ漏洩の報に驚きはしなかったと語った。
援助機関は極めて脆弱な人々を支援しているにもかかわらず、人道支援分野におけるデータ保護の実践は一般的に民間部門より遅れていると彼は指摘した。
「正しいことをしたいと主張し、特定の価値観や原則を遵守すると公言しているにもかかわらず――保護や防御体制の強化、政策の執行や改善に向けた努力はあるものの――この分野はデータ保護においてかなり不十分だ」と、金融セクターでのサイバーセキュリティの経歴を持ち、現在は人道支援組織にデジタル移行に関する助言を行っているマーティンは語った。
今回のケースでは、WFPは影響を受けたガザの人々に、自身のデータが漏洩したことを通知しようとしたようだ――これは基本的な義務である。「しかし、その情報を受け取った人々が、パニックになる以外に何をすべきなのかは不明だ」と彼は述べた。この情報漏洩は「脆弱な人々を、さらに無防備な気持ちにさせる」ものである。
5月31日の声明および6月2日に発信された2回目のTelegram声明において、WFPはセキュリティ対策の強化を実施するため、SRAプラットフォームを一時停止したと述べた。食料、現金、その他の支援プログラムは既存のシステムを通じて通常通り継続され、支援を受け続けるために受益者が情報を更新、削除、または再登録する必要はないとしている。
同機関はまた、WFPを名乗って情報や支払いを要求してくる人物には警戒するよう受益者に呼びかけ、不審なリンクをクリックしたり、身元不明の相手に個人情報を提供したりしないよう助言した。
この情報漏洩は、資金規模において常に世界最大の人道支援機関であるWFPのデータ管理実態にも注目を集めている。
同機関はかねてより、SCOPEとして知られる世界的な受益者ID管理プログラムの拡充を図ってきた。2021年の監査によると、SCOPEには6,380万件の「ID」が登録されており、そのうち約2,000万件の受益者が「運用中」であった。当時、SCOPEはWFPが活動する国の80%で利用されていた。それ以前の2017年の監査では、同機関は受益者データの保護方法において大幅な改善が必要であると指摘されていた。
WFPは以前、2026年にパレスチナでSCOPEを全面的に導入する意向であると述べていた。同機関は、5月のデータ漏洩がSCOPEやその他のデータ管理システムに影響を及ぼさなかったとしている。
WFPはまた、米軍請負業者でありビッグデータ分析企業であるPalantirと関係を築いていることでも批判を受けている。同社は、イスラエルによるパレスチナ占領を支えていると非難される企業を名指しした「ジェノサイド経済」に関する国連人権報告書でも取り上げられている。デジタル権利擁護団体であるAccess Nowによると、人道支援団体が軍関連のテクノロジー企業と提携することは、国際法に基づく保護を失うリスクを伴うという。同団体はWFPとPalantirの関係を明らかにしてきた。
WFPは、パランティアとの提携が、システム横断的なデータを統合するプラットフォーム「DOTS」を支えるものであると述べている。
WFPのパレスチナ事業に関する2022年の監査では、内部の技術的能力が限られているため、個人データ収集に関連するリスクが評価も軽減もされていなかったと指摘されている。
編集:アンドルー・ガリー。
