軍事情報の保全(8)SNS経由の情報漏洩とは？ - ロシア軍も痛い目に

2019年の2月半ばに、「ロシア議会で、軍人が自分自身や同僚に関するSNSへの投稿を制限する法案を審議中」という報道があった。ロシア軍はすでに、兵士が"自撮り写真"をSNSに投稿して痛い目に遭っているので、こういう話が出てくるのは無理もない。

個人レベルで情報が漏れる機会が増えた

パソコン通信の登場と、それに続くインターネットの普及によって、何が大きく変わったのだろうか。それは、個人レベルで広い範囲に向けて情報を発信する手段が手軽になった、という点である。

人に情報を伝えたい時、昔なら自宅の近所に張り紙をするぐらいが関の山であった。その一例が「壁新聞」ということになるだろうか。それで足りなければ、マスコミ関係者に頼んでなんとかしてもらうとか、自分で出版社に話を持ち込むとかいう手もあるが、特に後者はハードルが高い。

ところが現在では、パーソナルコンピュータどころかスマートフォンが手元にあれば、オフラインあるいは圏外にならない限り、いつでもどこからでも全世界に向けた情報発信ができる。もっとも、その結果として「意図的な、あるいは勘違いに起因する誤報」が頻発することにもなったのだが、それは本題から外れるのでおいておく。

その個人レベルの情報発信は、最初からそのつもりで意図的に行うものだけでなく、そのつもりがないのに結果的に全世界にばらまいてしまった、という種類のものもある。ことにSNSだと、普段は内輪の付き合いが主体になるから、ついつい「内輪限定」のつもりで投稿したのに、結果として炎上の火種を投下してしまうこともある。

問題は、そうした「気軽に投稿できる環境」が、情報漏洩のチャンネルにもなっている点だ。実際にあった事例だと、ジオタグ付きの写真をジオタグが見える形で公開するサービスに投稿した結果として、「某国の軍人が、表向きにはいないことになっているはずの場所にいる」という話が露見するようなことが起きている。

昔は統制できていたが、今は事情が違う

昔だったら、報道関係者を締め出しておけば、「いないことになっているはずの場所に軍を送り込む」なんていうマネをしても、存在を秘匿できた。地元住民が海外のマスコミに情報を漏らすようなことでもなければ、大抵、秘密は保てる。

軍人に対しても、部外者との接触を禁じるよう命令するとか、もっと強硬な方法として物理的な接触禁止を図るとかいう手を使える。後者の例としては、外出禁止や人里離れた施設への隔離といった手がある。

ところが現在では、個人で携行できるデバイスが普及して、かつそれが移動体通信網によって広い範囲で利用できてしまう。そして、個人レベルで情報を投稿できるようなサービスはたくさんある。だから、SNSへの投稿に起因する情報漏れという新たな課題が出現して、保全担当者は頭を痛めているわけだ。

以前なら、指揮官あるいは保全担当者のレベルで「こうすれば情報漏洩を防げる」と考えて、それを実行していれば済んだ。しかし現在は、個人レベルで「この情報を投稿したら、重大な情報漏洩につながるだろうか?」ということを考えなければならない時代になっている。保全に関する教育のあり方から見直さなければならない。

実のところ、この手のSNS経由の情報漏洩は、違った形で日常的に話題になっている。いわゆる「炎上」案件が発生すると、当該ユーザーの過去の投稿が洗われて、住んでいる場所や勤務先などが暴かれるのは、その典型例。

一つ一つが断片的な情報でも、それを拾い集めて解析することで大きな成果につながる。これは軍事諜報の世界ではよくある話だが、個人レベルでもそれと似たような話はあるわけだ。では、任務に就いている軍人が何気なく、断片的な情報を投稿し続けていたら?　それが誰かさんの目にとまり、継続的に記録・解析されていたら?

筆者みたいな仕事でも、「どこそこに取材に来ています」という投稿をすれば、他のニュースなどと突き合わせることで、(自分が直接書いていなくても)何の取材に行ったかがわかってしまうかもしれない。それが、公になっても困らない種類のものならいいが、公にしたくない取材、あるいは記事が出るまで伏せておかないといけない案件だったらどうなるか。

もっとも、物書きの立場からすると、公開情報を丹念に追って、集積することで「何か」を割り出すのが楽しかったり、それが仕事の一環になっていたりする部分がある。逆にいえば、自分が平素からそういうマインド・セットで動いていると、自分の投稿でも「これを投稿して大丈夫?」という判断をするようになる(こともある)。

知らず知らずのうちに情報漏洩

SNSへの投稿は基本的に、本人が「投稿する」という意図を持ち、それを実行に移すことによって実現する。ところがそれとは別に、ソフトウェアの機能を完全に理解していないために情報漏洩の可能性に気付かなかった、という事例もある。

その一例が、「Strava」や「Polar」といったフィットネス情報記録用のソフトウェア。この手のソフトウェアが何をするかというと、スマートフォンが内蔵しているGPS(Global Positioning System)受信機によって行動履歴を記録するとともに、消費カロリーなどのデータも記録・管理する。たとえば、ランニングをすれば「今日は何km走ったから、これぐらいのエネルギーを使った」というデータが蓄積される。

そのデータを端末の中にとどめておく分には問題はないが、データを他のユーザーと比較しようとすると、データをサーバにアップロードする必要がある。そのデータの公開設定に問題があって、誰でも見えるような状態になっていたらどうなるか。

その結果として、「某国の軍人がいないはずの場所で、その某国の軍人がランニングをしていた記録が公開されていた」なんていうことが起きる。そこで、米国防総省は2018年8月に、海外派遣任務に就く軍人に対して「GPSによる測位機能を備えたデバイスの使用を制限する」という新ポリシーを発令した。

• Strava Labs - Global Heatmap - 資料: Strava提供

これは、ソフトウェアの機能と、そこで生成されたデータの扱いに関する、利用者側の理解の問題である。「あ、これ便利 !」「あ、これ面白そう !」というだけで安易に手を出して、機能やデータの扱いをよく理解しないままに使っていたら、保全事故を起こしてしまった、ということになりかねないわけだ。

「軍事とIT」だから軍隊組織を例に取り上げて書いたが、この辺の話は軍以外の政府機関でも、企業でも、同様について回るだろう。