Bangladeshの警察要員がTelegramで市民の個人情報を売却の疑い

バングラデシュのテロ対策警察で働く2人の高官が、市民の機密情報や個人情報をTelegramで犯罪者に売却した疑いが浮上しています。TechCrunchが報じています。

販売されたデータには、市民の国民ID情報、携帯電話通話記録、その他の「機密情報」が含まれていたと報告され、TechCrunchが入手したバングラデシュの高官が署名した書簡によると。

この4月28日付けの書簡は、国家電気通信モニタリングセンター(NTMC)のディレクターであるBrigadier General Mohammad Bakerによって書かれました。NTMCはバングラデシュの電子盗聴機関で、TechCrunchとのインタビューでBakerがその内容の正当性を確認しています。

「両事件に対する部門調査は進行中であり、バングラデシュの内務省は影響を受けた警察機関に対して『その役員に対して必要な措置を取るように』」とBakerはオンラインチャットで述べており、書簡は、2人の警察官がTelegramで市民の「極めて機密情報」にアクセスし、金銭のやり取りに関与していたと主張しています。

書簡によると、捜査官がNTMCシステムのログを分析し、2人がどれだけ頻繁にそれにアクセスしていたかを調査した結果、この警察官は機密情報に不適切にアクセスしたことが明らかになりました。

NTMCはバングラデシュ内務省の下に設立された政府情報機関で、国家安全保障に対する脅威を検知・防止するために、すべての通信トラフィックを監視し、電話やウェブ通信を傍受することを主な任務としています。

Human Rights WatchやFreedom Houseなどの機関は、NTMCを批判し、言論の自由やプライバシーに対する乱用の保護策が欠如していると指摘しています。NTMCは、イスラエルの企業などから高度な技術を取得し、それらを利用して野党メンバーやジャーナリスト、市民社会のメンバーや活動家を中心に大規模な監視を行ってきました。

政府公式のWebポータルであるNational Intelligence Platform(NIP)を運営するNTMCは、国民のID情報、携帯電話登録、通話記録、犯罪プロファイルなどの機密情報を保持しています。“各法執行機関や情報機関は、NTMCから提供されるNIPポータルのユーザーアカウントを持っています。

NTMCの調査によると、この2人の警察官は他の者よりも頻繁にNIPプラットフォームを利用し、彼らにとって関係のない情報にアクセス・収集していたとされています。

これについて「その状況を考慮すると、このような関係のないアクセスや極めて機密性の高い機密データの不適切な引き渡しは、関与した全員を特定し調査すべきであり、同定された全員に対して適切な措置を講ずることを要請します」と書簡には記載されています。

Baker氏は、複数のTelegramチャンネルがあるようで、その中の1つはBD CYBER GANGと呼ばれていたと述べています。

TechCrunchは具体的なTelegramチャンネルを特定することができませんでした。

もし、この事件や類似の事件についてさらなる情報をお持ちの方は、非公式のデバイスからLorenzo Franceschi-BicchieraiにSignalで+1 917 257 1382、またはTelegram、Keybase、Wireで@lorenzofb、もしくはメールで安全にお問い合わせいただけます。SecureDropを通じてTechCrunchにも連絡することができます。

Baker氏は、これら2人の警察官が少なくとも1つのTelegramグループの管理者に情報を送信し、その後売却を試みたと述べています。

2人の警察官は捜査が通知されているとBaker氏は述べ、「関係者が特定され、適切な措置が取られるまで、ATUとRAB 6のNIPユーザー全員のアクセスが停止された」と書簡に記載されています。

Baker氏は、停止されたアクセスを確認し、「捜査目的で情報が必要な場合は、警察とRAB HQから収集することができます」と述べています。

バングラデシュ内務省やATUの広報担当者は、複数のコメント要求に応じていませんでした。RAB 6の「operations officer」としてだけを名乗る人物は、機関からコメントするつもりはないとTechCrunchに述べました。

昨年、NTMCが未保護のサーバーで人々の個人情報を漏洩していることが、セキュリティ研究者によって発見されました。漏洩したデータには、実名、電話番号、メールアドレス、位置情報、試験結果などが含まれていたとWiredが報じています。他のバングラデシュ政府機関であるOffice of the Registrar General, Birth & Death Registrationも、市民の機密データを昨年漏洩させたとTechCrunchが報じています。

これらはデータ露出の重要な事例でしたが、ATUとRAB 6の警察官がインターネット上で情報を売却したとされるこの事件は、特権的な個人情報へのアクセスを通じて利益を得ようとしたという点で、より深刻な可能性があるとされています。

この事件は現在捜査中ですが、政府内のよく知られた情報筋によると、今でも市民のデータを売却している役人がいるとのことです。