ITmedia NEWS > セキュリティ >
ニュース
» 2021年08月05日 08時00分 公開

エストニアで全人口約2割の顔写真データが流出 国のデータベースに脆弱性

エストニアの国家情報システム局が、国民情報の管理や電子手続きに使う「国民IDカード」にひも付いた顔写真データ約29万枚が不正にダウンロードされたと発表した。同局が運営する身分証明データベースの脆弱性が悪用されたという。犯人は逮捕済み。

[荒岡瑛一郎,ITmedia]

 エストニア共和国の国家情報システム局は7月28日(現地時間、以下同)、国民情報の管理や電子手続きに使う「国民IDカード」にひも付いた顔写真データ28万6438枚が不正にダウンロードされたと発表した。同局が運営する身分証明データベースの脆弱性が悪用されたという。犯人は23日に逮捕済み。

 エストニアは人口約133万人(2021年時点)の欧州連合(EU)加盟国。外務省によれば世界で唯一国政選挙に電子投票を導入している他、個人情報の確認がオンラインで行えるなど、ITの活用に注力している国という。

 エストニアでは、国民IDと氏名が分かれば顔写真の開示を申請できる。通常は5段階の審査を通過した後にダウンロードできるが、この審査システムに脆弱性があったという。犯人は何らかの方法で事前に手に入れた国民IDと氏名を使って、データを不正に取得したという。

エストニア国家情報システム局の発表

 チェックシステムの脆弱性は修正済み。警察が逮捕後に行った捜査では、犯人の所持するデータベースから、国民ID、氏名、ダウンロードされた写真が見つかった。ただし、これらのデータが外部に送信された形跡はなかったとしている。

 顔写真、名前、国民IDだけでは行政システムへのアクセスやデジタル署名、オンラインでの金融取引などは行えず、なりすましが難しいため、国民IDカードや行政システムの運用への影響は少ないという。国民に対しても、顔写真の変更や国民IDカードの交換は必要ないと呼び掛けている。

Copyright © ITmedia, Inc. All Rights Reserved.