更新:司法省監察総監室による監査によると、FBI は捜査の一環として押収した電子記憶媒体の処理および破壊の方法において重大な過失を犯していた。
国家安全保障データ、外国情報監視法の情報、機密指定文書が入ったドライブにはラベルが貼られていないことが常態化しており、紛失や盗難の危険性があったと、FBI長官クリストファー・レイ氏に宛てた報告書[PDF]は述べている。
皮肉なことに、使用済みのメディアを破壊するために使われるFBI施設のセキュリティが緩いことを考えると、身元が特定されないことは利点と考えられるかもしれない。
OIGの報告書によると、ハードドライブやリムーバブルストレージの箱が「数日、あるいは数週間」も開いたまま放置されていたことが発見された。これは、箱がいっぱいになった後に初めて封印されたためである。このため、施設にアクセスできる395人の職員と請負業者の誰もが、箱の中を物色できる可能性がある。
ストレージシステムとしては、必ずしも最もセキュリティの高いシステムとは言えません。出典:OIG。(クリックして拡大)
これに対処するため、FBIは保管媒体を保管するための金網を設置している。12月には、FBIはセキュリティ強化のため、証拠廃棄保管施設にビデオ監視システムを設置すると発表した。今年6月時点では、そのための書類手続きがまだ進められていた。
OIGはまた、FBI捜査官が中央事務所や破壊施設に送られたハードドライブやリムーバブルストレージを追跡していないことも発見しました。押収されたコンピュータには通常、追跡用のタグが付けられますが、コスト削減策として、国家安全保障情報を保存したメディアストレージデバイスは筐体を外して送付するよう捜査官に勧告されています。リムーバブルストレージにはタグの付与が義務付けられていますが、内蔵ハードドライブには同様の要件はありません。
「FBIの電子記憶媒体の在庫管理が不十分なため、ノートパソコンやサーバーなどの大型電子部品から取り出されたUSBメモリ、ディスクドライブ、ハードドライブ、ソリッドステートドライブが紛失したり盗難に遭ったりするリスクがFBIには高まっている」と報告書は述べている。
また、FBIはこれらの電子媒体に、保存装置に含まれる情報の機密レベルを識別するためのマークを付けていません。これらの媒体に対する説明責任の欠如、施設内の物理的なアクセス制御の欠如、および関連エリアへの適切なカメラ監視の欠如により、電子記憶媒体は、検知される可能性のないまま、紛失または盗難のリスクに不必要に晒されています。
- 真面目な話、FBI や DEA が人々の送金記録を吸い上げているのは一体どういうことなのでしょうか?
- 元FBI長官コミー氏、公務に私用メール使用 ― 司法省
- FBIとCISA、DDoS攻撃は選挙システムに影響を及ぼさないことを米国有権者に警告
- セキュリティ企業のKnowBe4は偽の北朝鮮技術者を雇い、すぐに悪事に手を染めた
FBIは規制当局に対し、この問題は既に解決済みであると確約し、「機密扱いおよび機密性の高い電子機器および資料の物理的管理および破壊に関する政策指令」を起草した。この指令では、データにマークアップを施し、安全に破壊することが義務付けられる。FBIによると、この政策は現在最終編集段階にあり、できるだけ早く公表される予定だ。
レジスターはFBIとOIGにコメントを求めており、情報が入り次第この記事を更新する予定だ。®
8月26日21時UTC更新
FBIの広報担当者はThe Registerに対し、「FBIは監察総監室(OIG)によるサイトの調査に感謝しており、特定された懸念を軽減するためにセキュリティ強化と手続き変更を完了した」と語った。
広報担当者は、施設への立ち入りを許可されたすべての労働者や請負業者はセキュリティ審査を受けており、敷地全体がフェンスで囲まれ、「積極的な境界アクセス制御」と侵入検知システムが導入されていると付け加えた。
記録の内部調査により、「サイトへの侵入事件はゼロ、未承認/権限のない人物によるアクセス事件もゼロ」であることが確認されたと伝えられている。
