ブルガリアの成人「ほぼ全員」のデータが漏洩、容疑者逮捕
バルカン半島に位置するブルガリア共和国で、国内のほぼすべての成人の機密個人記録が盗まれる前代未聞のハッキング被害が発生した。ボイコ・ボリソフ首相は、攻撃者を「魔術師」と呼んだが、サイバーセキュリティの専門家らは単にセキュリティが不完全だったと指摘している。
報道によると、被害にあったのはブルガリアの国家歳入庁(NRA)。警察当局は7月16日、クリスティヤン・ボイコフという20歳の男をブルガリアのソフィアで容疑者として逮捕した。有罪が確定した場合、同容疑者には最高で懲役8年の刑が科されるという。警察は共犯者がいる可能性があると見て、調べを進めている。
ロイター通信によると、6月に発生したNRAに対するハッキング被害の公表以来、ブルガリア当局は謝罪に追われてきた。この事件では、数百万人分の納税者の個人情報や納税データが地元のジャーナリストへ電子メールで送信されて漏洩。個人の氏名、住所、収入・所得に関する情報、個人識別番号が含まれており、データは過去10年分以上、総容量は21ギガバイトにも達する。
犯人はジャーナリストへ送信したメールの中で、ブルガリア政府の腐敗を糾弾している(非政府組織トランスペアレンシー・インターナショナル(Transparency International)によると、ブルガリアは確かに欧州で最も腐敗した国に位置付けられている)。
ボリソフ首相はボイコフ容疑者を「魔術師」と呼び、ブルガリアは彼のような人を雇うべきだと語った。だが、ブルガリアのセキュリティ専門家らは大統領の発言に異議を唱えており、あってはならない脆弱性が原因だと指摘している。
「内部関係者の情報によると、今回の攻撃はSQLインジェクションと見られています」と言うのは、ブルガリアのセキュリティ企業であるログセンティネル(LogSentinel)のボズヒダー・ボザハノブ最高経営責任者(CEO)だ。「SQLインジェクションは検出が容易で、悪用もまた難しくありません。多層的な保護が必要です。第一にソフトウェア要件、次に受け入れ期間での試験です。そして第三に、運用中に定期的にスキャンして脆弱性を検知することですが、どうやらこれは実施されていなかったようです」。
ハッカーとブルガリア政府の主張の間にはズレがあり、事実関係はまだ整理されていない。
ハッカーはブルガリアの全人口およそ700万人のうち、500万人以上のデータを盗み出したと主張している。一方、ヴラディスラフ・ゴラノフ財務大臣は、NRAのデータベースのうち3%が影響を受けたと説明。ゴラノフ財務大臣が実際の被害規模をどう見ているかは明らかではないが、財政上の影響はないと述べた。大臣は議会を通じてブルガリア国民に謝罪している。
サイバーセキュリティ研究者でブルガリア科学アカデミーのベッセリン・ボンチェフ助教授は、ボイコフ容疑者は逮捕につながる山のような痕跡を残していたという。
「このハッカーが『魔術師』だとは言えません。もし本当に彼がこんなに早くに逮捕されたのなら、切れ者などではなく、ただのずさんな男だったということでしょう」。
今回のハッキング事件の範囲は膨大で、依然として未解決の疑問が多く残されたままだ。
ハッカーが、盗み出したデータとともにジャーナリストに送った電子メールの送信元はロシアだった。これが意味することはまだよく分からないが、ロシアと欧州の間での特にサイバー空間における緊張関係によって注目される要素となっている。
一方、ブルガリア国内に目を向けると、国民はなぜここまで問題が大きくなったのか不思議に思っており、政府の動向に注目している。
「NRAはブルガリアで特に技術的に進んでいる行政機関の1つであることに注目する必要があります」とボザハノブCEOは指摘する。「今回の問題がNRAの内部のテクノロジーや業務の実態を表しているのかどうかは分かりません。しかし、大量のデータが盗まれたという事実は、セキュリティに関する運用上のベスト・プラクティスがほとんど守られていなかったことを示しています」。
重要な未解決事項は、攻撃の背後にいる人物だ。集団なのか? 個人なのか? あるいは国家なのか?データ漏洩の被害を受けたブルガリア国民には今後、さまざまなトラブルが降りかかることが予想される。
1つだけ明らかなことがある。ブルガリアのサイバーセキュリティは、ツケを払うときが来たのだ。政府が認識しようがしまいが、ハッカーは確実に攻撃を仕掛けてくる。