英国各地の地方議会から独占的に送られた大量のSMSメッセージには、何千人もの納税者の名前、住所、未払いの負債を一般公開するページにつながるウェブリンクが含まれていたことを、 The Registerが明らかにした。
12の地方自治体に代わってTelsolutions Ltdが送信したテキストメッセージには、地方税の滞納者に支払いを促すウェブページへのショートリンクが含まれていた。また、The Registerが確認した12のケースでは、個人情報を詮索好きな目から守る認証がほとんど、あるいは全く行われていなかった。
約12の自治体から一斉に送られたメッセージは、滞納者や滞納者数千人に届いたが、データ漏洩を許していた抜け穴はその後塞がれた。
政府統計[PDF、16ページ、表2]によると、イングランドでは2019/20年度に市税の約3%が徴収されなかった。
滞納者への対応として、地方自治体は滞納者への督促にテキストメッセージを活用しています。バーネット市議会は次のように述べています。「地方税の滞納が発生した場合、地方税サービス(Council Tax Service)はSMSテキストメッセージ、メール、録音された音声メッセージをお送りします。」
読者の一人に送られたSMS
このサービスの一環として、英国の多くの自治体は、これらのメッセージを送信するために請負業者を利用しています。その請負業者の一つがTelsolutionsです。Registerの読者であるジムは、自治体からtextm[.]co/abcde形式のリンクを含むメッセージが送られてきたことに非常に不安を感じました。
リンクをクリックすると、最低限のセキュリティで保護された彼の個人情報を表示するウェブページが表示されました。そして、読者はURLの英数字を変更すると、他人のデータのコピーが表示されることに気づきました。彼が私たちに話してくれたところによると、その中には全く別の自治体の管轄区域に住む人々の情報も含まれていたそうです。
列挙可能なURLを調査した結果、Telsolutionsサービスのユーザーであるロンドンのベクスリー区議会が認証を一切実施していなかったことが判明しました。区内の脱税疑惑のある人物の個人情報を、身元を証明することなく誰でも自由に閲覧できたのです。
ベクスリー市議会は、認証なしのSMSサービスを通じて市議会納税者の詳細情報を漏洩した可能性がある。
他の納税者の情報を閲覧するには、受信者はSMSのURLにアクセスし、英数字を変更して、「続行」というボタンをクリックするだけで済みます。
バーミンガムのウォルソールなど一部の自治体では、下に「進む」ボタンが付いた免責事項のテキストも使用していました。
個人情報を一般公開から保護するこのようなクリックスルー「セキュリティ」は意味がありません。
他の市議会も同様の方法でTelsolutionsシステムを利用していました。例えば、サウサンプトン市議会は、人物の氏名を提示し、さらに詳しいデータを閲覧するために郵便番号の入力を求めました。
サウサンプトン市議会はこのSMSサービスのユーザーであり、簡単に見つかる郵便番号を「認証」に使用していた。
レジスター紙は、郵便番号ベースの「認証」システムを採用している7つの地方自治体に対し、例えば検索エンジンで「ジョー・ブロッグス・サウサンプトン」を検索すると、常に上位の検索結果にYellなどのサイトからの住所候補(郵便番号付き)が表示されることを指摘した。少しでも強い意志のある犯罪者なら、選挙人名簿検索サービスを使って簡単に一致した住所を見つけることができる。
このシステムを使用している自治体は14ありましたが、そのうち12弱が、意味のある管理をほとんど、あるいは全く行わずに個人データを公開していました。これらの自治体は、バーネット、ベクスリー、ブライトン、カーディフ、コベントリー・シティ、グリニッジ、ランベス、レッドブリッジ、サウサンプトン・シティ、ウォルソールです。これらの地方自治体は、合計で300万人以上の納税者を抱えています。
他の自治体も同じシステムを使用していたが、Telsolutions のロゴが表示されたショートリンクでは納税者の名前と住所の代わりにエラー文字列が返されたため、自治体がシステムの使用を中止した可能性があることが示唆された。
共通点:抜け穴は塞がれている
Telsolutionsは「お客様の積極的な顧客コミュニケーションパートナー」というスローガンを掲げています。同社のウェブサイトでは、政府認定のG-Cloudサプライヤーであること、Crown Commercial Servicesフレームワークへの参加、そしてCyber Essentials認証の取得を誇示しています。
最高経営責任者(CEO)のロブ・ペリー=ジョーンズ氏は次のように述べています。「当社はセキュリティとデータ保護に関するあらゆる問題を極めて真剣に受け止めています。システムの一つに潜在的な脆弱性が見つかったため、直ちにサービスを停止し、その後、セキュリティをさらに強化し、悪意のある行為を防ぐための新たな対策を導入しました。影響を受ける可能性のあるお客様には通知を行い、新たな対策を導入してサービスを調整しました。」
ESETのサイバーセキュリティ専門家、ジェイク・ムーア氏は、短縮リンクサービスは一見理にかなっているように見えるものの、適切なセキュリティ対策が十分に講じられていないようだとコメントし、「問題は、犯罪者意識を持ってアプリケーションをテストしない個人が、このようなプロセスを悪意なく作成した場合によく発生します。プロセスは、不正にハッキングしようとする人々の協力を得て設計するか、少なくとも不正なアプローチを考慮に入れて十分にテストすることが重要です」と述べています。
「私たちはこれを非常に真剣に受け止めています」
個人データの漏洩に責任のある議会は、The Register が自分たちの見解を尋ねた際に、ほとんど謝罪しなかった。
カーディフ市議会の広報担当者は、同市当局は「個人データの取り扱いとデータ保護法を非常に真剣に受け止めており、提起された懸念は市議会のデータ保護方針と手続きに沿って、データ保護責任者に報告され、調査されている」と述べた。
広報担当者は、評議会が Telsolutions を使用する前にデータ保護影響評価を実施したことを確認した。
コベントリー市議会は次のように述べている。「Telsolutionsは、多くの地方自治体や債権回収業界全体で利用されています。Telsolutionsは、2020年後半にシステムに不具合があり、納税者の詳細情報が、通知の受取人ではない人でもアクセスできる可能性があることを確認しました。この情報にアクセスするには、受取人の郵便番号を取得する必要があります。」
広報担当者はさらに、「送信されたリンクの大部分は全くアクセスされていなかった」と述べ、市議会は「データ保護義務を非常に真剣に受け止めており、多数のサプライヤーと協力して住民のデータが確実に保護されるように努めている」と付け加えた。
キャピタ社は、バーネット、ベクスリー、ランベスの各地方自治体を代表して(この大手アウトソーシング企業は、これらの地方自治体に代わって税金を徴収する契約を締結している)、次のように回答した。「専門業者の支援を受けて運営されているサービスにおいて、技術的な問題が発覚しました。当社は顧客データのセキュリティを最優先事項としており、関係者全員と緊密に連携し、このエラーを可能な限り迅速に解決・調査いたします。」
サウサンプトン市議会は「顧客のデータ保護を非常に重視しており、現在この問題を調査中だ」と述べた。
ウォルソール市議会はテルソリューションズを利用していることを認め、「データ保護義務を非常に真剣に受け止めており、住民のデータが保護され、問題が特定された場合は顧客を保護するために直ちに行動を起こすようサプライヤーと緊密に連携している」と述べた。
グリニッジ市議会はコメント要請の受領を認めたものの、コメントは控えた。
ブライトン市議会とサザーク市議会は先週、コメント要請に応じなかった。®
