法執行機関や警察に技術やツールを提供する企業、ODIN Intelligenceのウェブサイトが日曜日に改ざんされた。
このハッキングと思われる出来事は、同社が開発した、警察が複数機関による襲撃を管理・調整できるアプリ「SweepWizard」に重大なセキュリティ上の脆弱性があり、警察の容疑者の個人情報や今後の警察活動に関する機密情報がオープンウェブに公開されていたとWiredが報じた数日後に起きた。
ODINは、SweepWizardなどのアプリやその他のテクノロジーを法執行機関に提供しています。また、SONAR(性犯罪者通知登録システム)と呼ばれるサービスも提供しており、州および地方の法執行機関が登録済みの性犯罪者を遠隔管理するために利用しています。しかし、同社は論争の的にもなっています。昨年、ODINはホームレスの身元確認に顔認識技術を売り込み、その機能を冷酷かつ侮辱的な言葉で表現していたことが発覚しました。
ODINのウェブサイトを誰が改ざんしたのか、また侵入者がどのように侵入したのかは不明だが、残されたメッセージにはODINの創設者兼最高経営責任者であるエリック・マコーリー氏の言葉が引用されており、マコーリー氏は、SweepWizardアプリが安全ではなくデータを漏洩していると報じたWiredの最近の報道をほぼ否定している。
「そこで、我々は彼らをハッキングすることに決めた」とODINのウェブサイトに残されたメッセージには記されていた。
改ざんされた文書の内容からは、ハッカーがODINのシステムからデータを盗み出したのか、それとも同社が主張するように「すべてのデータとバックアップは抹消された」のかは不明瞭であり、同社のデータストアを消去しようとした可能性を示唆している。
非営利の透明性団体DDoSecretsの共同創設者、エマ・ベスト氏はTechCrunchに対し、ODINのサーバーからデータが流出し、同組織がそれを保有していると語った。「先日データを受け取り、現在処理中です」とベスト氏は述べた。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
改ざんされたメモには、合計16ギガバイトを超えるデータを含む3つの大きなアーカイブファイルが記載されており、それぞれにODIN組織、性犯罪者のデータ、そしてSweepWizardアプリに関連した名前が付けられていました。ハッカーたちはまた、各ファイルの署名として機能する固有の文字と数字の文字列であるハッシュも残していました。Best氏は、DDoSecretsが受け取ったファイルが改ざんされたメモのハッシュと一致していることを確認しました。
改ざんには、ODINの所有物と思われるAmazon Web Servicesのキーセットも含まれていました。TechCrunchはこれらのキーがODINの所有物であることをすぐには確認できませんでしたが、これらのキーは、警察や法執行機関の機密性の高いデータを保管しているAWSのGovCloud上のインスタンスと一致しているようです。
ODINの最高経営責任者であるエリック・マコーリー氏は、この改ざんと侵入の可能性についてテッククランチからの質問メールに返答しなかったが、ODINの改ざんされたウェブサイトはその後すぐにオフラインになった。
DDoSecrets からのコメントで更新されました。
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
