セキュリティ

料理宅配アプリのデータ漏洩から露野党指導者毒殺に関係する諜報員がバレる - ついでに食生活も

べリングキャット（Bellingcat）は、ロシアのフードデリバリーサービス「Yandex Food」から流出した大規模なデータを分析し、ロシアの野党政治家毒殺に関係する人物を特定することに成功した。

編集部

2022年4月4日 — 3 min read

2019年5月30日（木）、ロシア・モスクワのマクドナルド社のファストフード店で、Yandex NVが運営するフードデリバリーサービスの宅配員が注文を回収している。Photographer: Andrey Rudakov/Bloomberg.

ロシアの大手インターネット企業Yandexの子会社であるYandex Foodは、3月1日にデータ流出を報告し、従業員の1人の「不正な行動」が原因であるとし、流出にはユーザーのログイン情報は含まれていないと指摘した。

ロイター通信によると、約5万8,000人のユーザー情報が流出したこの情報流出に対し、ロシアの連邦通信・情報技術・マスコミ分野監督庁はその後、同社に最高10万ルーブル（約14.3万円）の罰金を科すと脅している。また、同庁は、データを含むオンラインマップへのアクセスもブロックしており、一般市民だけでなく、ロシア軍やセキュリティサービスと関係のある人々の情報を隠そうとする試みも行っている。

Bellingcatのリサーチャーは情報の山にアクセスし、ロシアの野党指導者アレクセイ・ナヴァルニーの毒殺に関連する人物など、興味のある人物の手掛かりを得るために情報を選別している。過去の調査で収集された電話番号をデータベースで検索したところ、ナヴァルニーの毒殺を計画するためにロシア連邦保安庁（FSB）と連絡を取っていた人物の名前が浮かび上がった。Bellingcatによると、この人物は仕事用のメールアドレスを使ってYandex Foodに登録もしており、リサーチャーはさらにその身元を確認することができた。

リサーチャーはまた、ロシアの対外軍事情報機関であるロシア連邦軍参謀本部情報総局（GRU）に関係する人物の電話番号について、流出した情報を調べた。その結果、諜報員の一人であるエフゲニーという名前を見つけ、彼をロシア外務省に関連付け、彼の車の登録情報を見つけることができた。

アクシオン有料購読、初月無料キャンペーン

毎月70本追加される一流海外メディアとオリジナル記事にアクセス

1ヶ月無料で購読する

Bellingcatは、データベースの特定の住所を検索することによっても、いくつかの貴重な情報を発見た。モスクワのGRU本部を検索したところ、わずか4件しかヒットしなかった。これは、従業員が配達アプリを使用しないか、徒歩圏内のレストランに注文している可能性を示している。しかし、Bellingcatがモスクワ郊外にある連邦保安局（FSB）の特別作戦センターを検索したところ、20件の結果が得られた。いくつかの結果には、配達先が実は軍事基地であることをドライバーに警告する、興味深い配達指示が含まれていた。あるユーザーは、ドライバーに「青いブースの近くにある3つのブームバリアまで行って電話しろ」と指示した。110番バスの停留所の後、突き当たりまで」、また別の人は「閉鎖地域。検問所まで行ってください。到着の10分前に番号に電話しろ！」と指示した。

Благодаря слитой базе «Яндекса» нашлась ещё одна квартира экс-любовницы Путина Светланы Кривоногих. Именно туда их дочь Луиза Розова заказывала еду. Квартира 400 м², стоит примерно 170 млн рублей!https://t.co/z3uGKOdQhc pic.twitter.com/tOGXOsFmRY
— Соболь Любовь (@SobolLubov) March 23, 2022

ロシアの政治家でナヴァルニー支持者のリュボフ・ソボルは、ツイートで、流出した情報はロシアのプーチン大統領の元愛人とその「秘密」とされる娘に関する追加情報にまでつながったと述べている。「流出したYandexのデータベースのおかげで、プーチンの元愛人スヴェトラーナ・クリヴォノギクの別のアパートが見つかった」とソボルは述べた。「娘のルイザ・ロゾヴァが食事を注文していた場所だ。アパートは400平米で、約1億7,000万ルーブル（約2.4億円）の価値がある！」

もしリサーチャーがフードデリバリーアプリのデータを元にこれだけの情報を発掘できたとしたら、Uber EatsやDoorDash、Grubhubなどがユーザーに対して持っている情報量を考えると、とてもリスクがあるだろう。2019年、DoorDashのデータ流出では、490万人の氏名、メールアドレス、電話番号、配達注文内容、配達先住所、ハッシュ化・塩漬けパスワードが流出したが、これはYandex Foodのデータ流出で影響を受けた人よりもはるかに多い人数だ。