欧州連合(EU)の国境警備隊が、域内を移動する不法移民や犯罪容疑者を防ぐために使用しているソフトウェアには多くの欠陥があり、サイバー攻撃に対して脆弱であると主張している。第 2 世代シェンゲン情報システム (SIS II) は、法執行と公共の安全を目的としてほとんどの EU 諸国で共有されている IT システムおよびデータベースです。ブルームバーグと調査非営利団体ライトハウス・リポートの新たな共同報告書によると、2013年から使用されているSIS IIは「数千」ものサイバーセキュリティ問題に悩まされており、昨年提出された報告書ではEUの監査人がそれらの問題を「高」深刻度と評価するほどだという。
報告書では、データが盗まれたという証拠はないが、「過剰な」アカウントがデータベースに不必要なアクセス権を持っていたため、悪用されるのはかなり容易だった可能性があると指摘している。 SIS II の初期導入時には、指紋技術と警報用の写真が新たに追加され、2023 年にはソフトウェアがアップグレードされたデータで更新され、強制送還される人物がいる場合に信号を送る機能など、既存の機能が強化されました。ブルームバーグの記者は、EU監視団体ステートウォッチの法律研究者ロマン・ラノー氏に話を聞いた。ラノー氏は、攻撃は「壊滅的で、何百万人もの人々に影響を与える可能性がある」と警告した。
現在、SIS II はサイロ化されたネットワークで運用されていますが、まもなく EU の入退出システム (EES) に統合され、発効すると (おそらく今年後半)、シェンゲン協定関連地域に渡航する個人に対して生体認証情報の登録が必須になります。 EES がインターネットに接続されるため、SIS II データベースへのハッキング攻撃が容易になります。
ブルームバーグとライトハウスは、SIS IIシステムの推定9300万件の記録の大半は盗難車両などの物品に関連するものだが、約170万件は人物に関連するものだと指摘した。さらに、法執行機関が介入するまで、人々は自分の詳細情報がデータベースに記録されていることに気づかないことが多いため、情報が漏洩した場合、指名手配中の犯罪者が当局の目を逃れやすくなる可能性があると付け加えた。
SIS II の開発と保守は、パリに拠点を置く Sopra Steria という請負業者によって管理されています。報告書によれば、脆弱性が報告されてから解決されるまでには8か月から5年以上かかるという。これは、パッチのリリースから 2 か月以内に重大とみなされる問題を修正する契約上の義務があるにもかかわらずです。
ソプラ・ステリアの広報担当者は、ブルームバーグによるSIS IIのセキュリティ欠陥に関する詳細な申し立てリストには反応しなかったが、レポートに掲載された声明の中で、EUのプロトコルは遵守されていたと述べた。 「EUの安全保障インフラの重要な構成要素として、SIS IIは厳格な法律、規制、契約上の枠組みに従う」と声明は述べた。 「ソプラ・ステリアの役割は、これらの枠組みに沿って遂行されます。」
調査の結果、SIS IIなどの大規模ITシステムの監視を担当するEU機関であるEU-Lisaが、独自の社内技術を構築するよりも、外部のコンサルタント会社に業務を委託することが多いことが明らかになった。監査では、NAOが警告されたセキュリティリスクを経営陣に通知しなかったと非難されたが、NAOは、管理するすべてのシステムは「継続的なリスク評価、定期的な脆弱性スキャン、セキュリティテストの対象となっている」と回答した。
