約30万人のIDカードの顔写真データが流出

エストニア国家情報システム庁（注）は7月28日、国民IDカードに登録されている28万6,438人分（エストニアの全人口の約2割に相当）の顔写真データが、ハッカーによって不正にダウンロードされたと発表した。同庁の発表によると、容疑者は偽のデジタル証明書を使用した上で、国家情報システム庁が運営する写真転送サービスのセキュリティ脆弱（ぜいじゃく）性を悪用し、個別に問い合わせを行うことで顔写真データを取得したとのこと。同庁は不正使用が発覚した直後に写真転送サービスを停止し、セキュリティ上の欠陥を修正した。また、警察は7月23日に同国の首都タリンで容疑者を逮捕した。

今回は容疑者がエストニアで活動していたため、容疑者を迅速に逮捕することができたと、国家刑事警察のサイバー犯罪局のオスカー・グロス局長は述べている。警察の捜索の結果、容疑者が所持していたデータベースからはダウンロードされた顔写真、氏名や個人識別コードが見つかったものの、流出したデータが容疑者のコンピュータから外部に転送された事実は確認されていないという。

エストニアでIDカードの発行および管理を行う警察・国境警備庁は、今回のデータ流出で被害を受けた個人にEメールで通知を行うとともに、データ流出による影響が限定的なため、新たにIDカードを取得したり、顔写真を更新したりする必要はない、と呼び掛けている。

（注）国家レベルでの情報システムの相互運用性を確保する情報システムの開発と管理を行う経済通信省所管の機関。

（吉戸翼）