パキスタン政府は、内務大臣モヒシン・ナクヴィ氏を含むSIM保持者の個人情報が大量に流出したとの報告を受け、緊急の調査を開始した。流出したSIMデータがオンライン上で公然と販売されているとの情報があり、デジタルセキュリティとプライバシーに対する国民的懸念が高まっている。
内務省は公式声明で、ナクヴィ大臣が直ちにこの事態を把握し、特別調査チームの設置を命じたことを確認した。国家サイバー犯罪捜査庁は大臣の指示に基づき、14日以内に調査を完了し報告書を提出するよう厳しい期限を課した特別チームを編成した。
声明によると、「チームは状況を徹底的に調査し、データ流出に関与した者を特定し、法的措置を通じて責任を追及する」としている。
SIMデータがオンラインで安価に販売される
報道によれば、この流出事件ではGoogleのプラットフォーム上で機密性の高いSIMデータが販売されているという。 個人の携帯電話の位置情報が500ルピー(約270円)、通信記録が2,000ルピー(約1,100円)、国外旅行の詳細が5,000ルピー(約2,700円)で取引されているとされる。さらに、これらの違法取引には政府関係者だけでなく民間人のデータも含まれていると、英字紙『ドーン』が報じている。
このニュースは、パキスタン国家サイバー緊急対応チーム(PKCERT)が、1億8,000万人以上のパキスタンのインターネット利用者に影響を与えた世界的なデータ侵害について深刻な警告を発してからわずか数か月後に伝えられたものだ。PKCERTは、ユーザー名・メールアドレス・パスワードを含む1億8,400万件以上のアカウント情報が暗号化されていない公開データベース上に存在することを確認していた。
これらのデータはソーシャルメディア、銀行、医療プラットフォーム、政府ポータルなどに関連しており、「インフォスティーラー」と呼ばれるマルウェアによって盗み出されたものだった。このマルウェアは感染したシステムから機密情報を抽出するもので、盗まれた情報は暗号化もパスワード保護もされず、誰でも悪用可能な状態で保管されていた。
PKCERTの勧告では、「流出したデータベースはインフォスティーラー・マルウェアによって収集されたと考えられている……データは平文のまま保存され、完全に無防備な状態だった」と述べられている。
PKCERT(パキスタンのデジタル資産と重要インフラを保護する連邦機関)は、この流出によって以下のようなリスクが発生する可能性があると警告した:
- 資格情報(認証情報)を使った不正ログイン攻撃
- 個人情報の盗難
- 機密アカウントへの不正アクセス
- 標的型フィッシングやソーシャルエンジニアリング
- 盗まれた認証情報を用いたマルウェア攻撃
勧告では、特にSIM保持者に対し、定期的にパスワードを変更し、信頼できるオンラインツールを使用してデータ漏えいの有無を確認するよう促している。
過去の流出事件がデータ保護体制への疑問を投げかける
これはパキスタンで発生した初の大規模データ流出事件ではない。2024年3月、合同調査チーム(JIT)は内務省に対し、国家データベース・登録局(NADRA)をめぐる別の事件で、2019年から2023年の間に270万人分の認証情報が流出したと報告している。
こうした時期の重複と繰り返される情報流出は、パキスタンのデジタルセキュリティ体制の有効性に深刻な疑問を投げかけている。市民のデジタルフットプリント(オンライン上の活動履歴)が拡大し、携帯電話やSIMカードの利用が一般化する中で、SIMデータおよび関連個人情報の保護はこれまでになく重要になっている。
ナクヴィ内務大臣の指示による調査が進む中、国民の関心は、内務省およびPKCERTの対応に注がれている。最も求められているのは、説明責任と透明性、そして何よりも数百万のSIM保持者を守るためのより強固なデータ保護体制の確立である。