29億件の記録が漏洩したとされる事件でメディアは大騒ぎ、国家の公的データに対する法的措置も

有名な身元調査サービスである National Public Data (NPD) が関与する大規模なデータ漏洩の噂が最近メディアを騒がせ、複数の訴訟を引き起こした。広く注目されているにもかかわらず、漏洩疑惑の真相は依然として不確かで、主張を裏付ける具体的な証拠はほとんどない。

炎上を引き起こしたツイート

潜在的な侵害の最初の噂は、2024年4月8日に、HackManacというユーザーがX（旧Twitter）に、NPDのデータベースから流出したとされる29億件という膨大な記録について投稿したときに浮上しました。投稿によると、米国、カナダ、英国の市民の記録を含むデータは、USDoDとして知られる脅威アクターによって350万ドルで販売されていました。主張の重大さにもかかわらず、この投稿は主流メディアによってほとんど無視され、NPDは回答しませんでした。

この最初の投稿に続いて、2024年6月2日には、有名なサイバーセキュリティコミュニティであるvx-undergroundから別の投稿がありました。彼らは、データのサンプルを確認し、その信憑性を確認したと主張しました。しかし、メディアとNPDはまたも沈黙を守りました。

集団訴訟の始まりによる法的影響

2024年8月1日、クリストファー・ホフマン氏がNPDに対して集団訴訟を起こしたことで、状況は劇的に変化した。ホフマン氏は、個人情報盗難防止サービスからの通知を引用し、この侵害で自分の個人情報（PII）が漏洩したと主張した。この訴訟は、被害者とされる人物が起こした他の3件の訴訟とともに、流出したデータがNPDに直接結びつく具体的な証拠をまだ示していない。

ホフマンの訴訟は、vx-underground の投稿を主な証拠として使用しているが、矛盾だらけである。たとえば、当初は侵入の責任を米国国防総省に帰していたが、その後の訂正で、SXUL として知られる別の脅威アクターが関与していた可能性があると示唆された。さらに、訴訟では記録数を 29 億から「数十億人」に膨らませており、これは米国、カナダ、英国の人口を合わせた数をはるかに上回る数字である。

釣り遠征の可能性？

専門家らは、この訴訟はNPDの責任を証明することよりも、同社に無罪の証拠を提出させることが目的である可能性を示唆している。米国では、裁判所は被告に対し、被告に対する告訴を立証または反証する可能性のある情報の開示を要求できる。「漁獲遠征」と呼ばれることが多いこの戦略が、ホフマンの弁護団の主な目的なのかもしれない。

イミュニウェブのCEOで法律専門家のイリア・コロチェンコ氏は、こうした戦術は、立証責任が原告側にあることが多い欧州よりも米国で一般的だと指摘した。裁判所がNPDに侵害容疑に関する情報開示を強制すれば、同社にとって重大な結果を招く可能性がある。

全体像とこれまでにわかっていること

法的措置とメディアの騒動にもかかわらず、NPD が侵害されたという決定的な証拠はまだありません。流通しているデータは、NPD から持ち出されたものではなく、他のソースから発信されたものか、公的記録からまとめられたものである可能性があります。漏洩したデータのサンプルを検証した Bleeping Computer などの信頼できるソースでさえ、情報が NPD からのものであったことを確認できませんでした。

さらに、この侵害疑惑は、盗まれたとされるデータの膨大な量について疑問を投げかけている。専門家は、特にNPDが扱う情報の機密性を考慮すると、29億件もの記録を検知されずに持ち出すことが実現可能かどうかについて懐疑的な見方を示している。

不確かな未来：真実を待つ

現時点では、NPD は、この侵害疑惑についてコメントしておらず、米国、英国、カナダの規制当局に対しても公式な情報開示を行っていない。侵害の背後にある真実は、裁判所が NPD に正式な回答を要求した場合にのみ明らかになる可能性がある。

一方で、この疑惑は幅広い懸念と憶測を引き起こしている。これらの主張が実証されるか、虚偽であることが証明されるかはまだ分からないが、この状況は、今日のデジタル時代におけるデータ侵害に伴う潜在的なリスクを思い起こさせるものである。

さらなる情報を待つ間、状況に慎重に取り組むことが重要です。NPD で情報漏洩が起きている可能性は否定できませんが、具体的な証拠がないため、真実は見出しが示唆するよりも複雑である可能性があります。