The New York Timesの報道によると、ドイツの研究者がオークションサイト「eBay」で生体認証システムを購入したところ、中に入っていたメモリーカードに米軍の機密データが入ったままだったとのことだ。データの内容としては、指紋、虹彩スキャン、写真、名前、説明など個人情報が多くが含まれており、そのほとんどがイラクとアフガニスタン出身の人たちのものだという。

今回、これを発見したのはMatthias Marx氏率いるChaos Computer Clubと呼ばれる研究者グループだ。彼らは、eBayで6台のデバイスを購入した。価格は、そのほとんどが200ドル以下だったと言うことだ。彼らが今回、こういったデバイスを購入しようとした動機は、2021年にThe Interceptが発表した、タリバンが米軍用生体認証装置を押収したという報告に触発されたからだという。そのため、米軍に協力した人たちを危険にさらすような識別データが含まれていないかどうかを確かめようとしたのだ。

今回の調査の結果、彼らは「衝撃」を受けたという。あるデバイスのメモリーカードには、2,632人の名前、国籍、写真、指紋、虹彩スキャンが記録されていたのだ。また、2012年夏にアフガニスタンのカンダハル近郊で使用されたことも判明した。別の端末は2013年にヨルダンで使用され、少人数の米軍関係者の指紋と虹彩スキャンが含まれていた。

2011年に出版されたこの機器の解説書によると、この機器は反乱分子の特定、米軍基地にアクセスする現地人や第三国人の確認、人々とイベントの関連付けに使用されていたとのことだ。Marx氏はThe New York Timesに、「（米軍が）データを保護しようともしなかったのは不愉快だった。彼らはリスクを気にしなかったか、リスクを無視したのです。」と述べている。

あるデバイスは軍のオークションで購入されたが、売り手は機密データが含まれていることに気づいていなかったという。機密情報はメモリーカードに保存されていたので、米軍は売却する前にカードを取り外すか破壊するだけでリスクを排除できたはずだ。

国防総省のPatrick S. Ryder報道官はThe New York Timesに対し、「我々はデバイスに含まれる情報を確認していないため、申し立てられたデータの真偽を確認したり、それについてコメントしたりすることはできない。国防省は、個人を特定できる情報を含むと思われるデバイスは、さらなる分析のために返却するよう要請しています。」とだけ述べている。

情報の機密性を考慮し、同グループはデバイス上で見つかった個人を特定できる情報を削除する予定だ。別の研究者は、このようなデバイスから見つかった個人は、たとえ身元を変更したとしても安全ではなく、米国政府から亡命を命じられるべきだと指摘している。

Source

• The New York Times: Biometric devices sold on eBay reportedly contained sensitive US military data