エストニアで全人口約2割の顔写真データが流出 国のデータベースに脆弱性
エストニアの国家情報システム局が、国民情報の管理や電子手続きに使う「国民IDカード」にひも付いた顔写真データ約29万枚が不正にダウンロードされたと発表した。同局が運営する身分証明データベースの脆弱性が悪用されたという。犯人は逮捕済み。
エストニア共和国の国家情報システム局は7月28日(現地時間、以下同)、国民情報の管理や電子手続きに使う「国民IDカード」にひも付いた顔写真データ28万6438枚が不正にダウンロードされたと発表した。同局が運営する身分証明データベースの脆弱性が悪用されたという。犯人は23日に逮捕済み。
エストニアは人口約133万人(2021年時点)の欧州連合(EU)加盟国。外務省によれば世界で唯一国政選挙に電子投票を導入している他、個人情報の確認がオンラインで行えるなど、ITの活用に注力している国という。
エストニアでは、国民IDと氏名が分かれば顔写真の開示を申請できる。通常は5段階の審査を通過した後にダウンロードできるが、この審査システムに脆弱性があったという。犯人は何らかの方法で事前に手に入れた国民IDと氏名を使って、データを不正に取得したという。
チェックシステムの脆弱性は修正済み。警察が逮捕後に行った捜査では、犯人の所持するデータベースから、国民ID、氏名、ダウンロードされた写真が見つかった。ただし、これらのデータが外部に送信された形跡はなかったとしている。
顔写真、名前、国民IDだけでは行政システムへのアクセスやデジタル署名、オンラインでの金融取引などは行えず、なりすましが難しいため、国民IDカードや行政システムの運用への影響は少ないという。国民に対しても、顔写真の変更や国民IDカードの交換は必要ないと呼び掛けている。
関連記事
- オンラインで完結する「本人確認」 AIで顔認識 エストニアに注目
エストニアのスタートアップが、オンラインで完結する本人確認サービス「Veriff」を開発。Fintechの活況で便利でセキュアな本人確認サービスへの期待が高まっている。 - エストニア、独自の仮想通貨「エストコイン」発行を検討 国家初のICOへ
エストニア共和国が、仮想通貨を発行して資金を調達する「ICO」を検討している。実現すれば、国家による初のICOになりそうだ。 - スマホとマイナンバーカードで本人確認 凸版印刷が事業者向けに提供
凸版印刷はスマートフォンでマイナンバーカードを読み込んで本人確認できる専用アプリを開発し、事業者向けに5月1日から提供すると発表した。事業者が自社サービスに同社のアプリを組み込むことで本人確認の手続きを簡略化できる。 - デジタルガジェットとしてのマイナンバーカードを考える
嫌われがち、不要と言われるマイナンバーカードも別の視点からみると、けっこう面白い。 - 佐賀市のサイト、市民が送信したマイナンバーカード画像など外部から閲覧できる状態に
佐賀市の公式Webサイトで、問い合わせフォームから送信された画像データがインターネット上で閲覧可能な状態になっていた。マイナンバーカードや免許証の写真など、個人情報を含む画像113件が、外部から閲覧できる状態だったという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.