先日、中国のハッカー集団APT26(別名タービン・パンダ等)のメンバーの2018年の起訴について記載しました。ところで、APT26(江蘇省国家安全局傘下)は、起訴はされていないものの、2015年迄に米国人事管理局のシステムにサイバー攻撃を掛けて、連邦政府職員の個人情報の大量窃取に成功しています。この情報窃取について説明します。なお、当時の米国人事管理局のシステムは、十分な投資がなされておらず、サイバー攻撃に脆弱であったと言われています。
1 窃取された個人情報データの概要
即ち、米国人事管理局(Office of Personnel Management)は、2015年6月4日、人事管理局の情報システムが侵入を受け400万人に及ぶ連邦職員のデータが窃取された可能性がある旨公表しました。更に同年7月9日には、これに加えて個人背景調査(background investigation)記録から2150万人分の個人情報が窃取された旨公表しました。 人事管理局の公表と報道を総合すると、次の2種類の個人データが窃取されたことが分かります。
① 連邦職員の人事管理用データベースから、現職及び退職した連邦職員420万人(内現職は210万人)分の個人情報。情報には、氏名、生年月日、住所、社会保険番号、勤務歴、人事評価が含まれます。(2014年10月から2015年4月の間に窃取。)
② 連邦職員の個人背景調査(background investigation)記録のデータベースから、現在、過去、そして将来の連邦職員又は契約職員2150万人分の個人情報。2150万人中、1970万人は個人背景調査の申請者本人のものであり、180万人は申請者の配偶者や同居人のものです。また、背景調査の一部としての面接調査(インタビュー)記録の一部や指紋データ560万人分も盗まれたといいます。(2014年後半から2015年1月の間に窃取。)
①と②の両方で重複してデータを盗まれた者は360万人いるとされます。
2 個人背景調査記録の窃取の意味
ところで、個人背景調査とは、連邦職員に採用され特定の職務に就くために必要な適格性を有するか否かを判断するための背景調査であり、全ての連邦職員とその候補者が受ける必要があります。そして、その前提として申請者は調査に必要な個人情報の提供を求められますが、それは職務の種類により、様式86、様式85、様式85P の三つに分かれます。インテリジェンス関連を含む高度なセキュリティ・クリアランスを必要とする国家安全保障関連職務(national security positions)に就くには、様式86に従い詳細な個人情報を提供しそれに基づく調査を受ける必要があります。様式86に記載すべき情報は実に詳細であり、過去の各居住地とそこでの隣人、通った各学校とそこでの友人、各職歴とそこでの上司、結婚歴、家族親族関係、交友のある外国人、国外での経済活動、外国企業との関係、外国政府との関係、外国への渡航歴、健康状態、犯罪歴その他の警察記録などの多くの情報を詳細に記載する必要があります。
これらの個人情報は、外国の諜報機関にとって極めて有用な情報です。米国政府職員と友人知人関係にある中国人を脅迫し、協力者として獲得し、或は処罰するための資料にも使えます。また、米国諜報機関職員に対してスパイ工作を仕掛けるための最高の基礎資料としても使えます。2015年7月9日に当時のFBI長官コーメイ氏は「これは職員情報の宝の山である」と語っています。
諜報関係者によれば、2014年や2015年頃、中国は、サイバー諜報活動によって米国人の個人情報の大量データベースを構築中と見られており、人事管理局の他、個人背景調査を受託している民間事業者、国土安全保障省、民間医療保険会社などのデータベースへの侵入を図っていたと言われています。
実に、中国も積極果敢に闘いを仕掛けているのです。我が国の個人情報のデータベースは外国諜報機関からのサイバー攻撃にどれ程、堅牢なのか心配です。