差し迫った警察の強襲に関する詳細な戦術計画、容疑者や犯罪の詳細を記した機密警察報告書、そして容疑者の携帯電話の内容を詳細に記したフォレンジック分析報告書。これらは、警察にアプリやサービスを提供するテクノロジー企業ODIN Intelligenceの社内サーバーから取得された膨大なデータキャッシュの一部です。同社のウェブサイトは、週末にハッキングと改ざんの被害に遭いました。
ODINのウェブサイトに残されたメッセージによると、この情報漏洩の背後にいるグループは、ODINの創設者兼最高経営責任者であるエリック・マコーリー氏が、警察が複数機関による襲撃を調整・計画するために使用する同社の主力アプリ「SweepWizard」が安全ではなく、今後の警察の作戦に関する機密データをオープンウェブに流出させているというWiredの記事を否定したことを受けて、同社をハッキングしたという。
ハッカーらはまた、クラウドに保存されたデータにアクセスするための同社のアマゾン ウェブ サービスの秘密鍵を公開し、同社のデータとバックアップを「細断」したと主張したが、その前にODINのシステムからギガバイト単位のデータを盗み出したという。
ODINは、SweepWizardなどのアプリを開発・提供し、全米の警察署に提供しています。また、性犯罪者による有罪判決を受けた者を当局が遠隔監視できる技術も開発しています。しかし、ODINは昨年、ホームレスの身元確認のための顔認識システムを当局に提供したことや、マーケティングにおいて侮辱的な表現を使用したことで批判を浴びました。
ODINのマコーリー氏は、記事掲載前にコメントを求める数通の電子メールには返答しなかったが、カリフォルニア州司法長官事務所に提出したデータ漏洩開示書の中でハッキングがあったことを認めた。
この侵害は、ODIN自身の膨大な内部データだけでなく、ODINの警察署顧客がアップロードした数ギガバイトの機密法執行データも漏洩しました。この侵害は、ODINのサイバーセキュリティだけでなく、犯罪被害者や無罪の容疑者を含む数千人の個人情報のセキュリティとプライバシーにも疑問を投げかけています。
ハッキングされたODINデータのキャッシュは、警察、政府機関、法律事務所、民兵組織などのキャッシュなど、公共の利益のために漏洩したデータセットをインデックス化する非営利の透明性団体DDoSecretsに提供されました。DDoSecretsの共同創設者であるエマ・ベスト氏は、ODINキャッシュに含まれる膨大な量の個人識別データを考慮し、同団体はキャッシュの配布をジャーナリストと研究者に限定しているとTechCrunchに語りました。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
ハッキングや侵入の犯人についてはほとんど知られていない。ベスト氏はTechCrunchに対し、侵入の出所は「All Cyber-Cops Are Bastards(サイバー警察はみんなろくでなし)」というグループであり、このフレーズは改ざんメッセージにも言及されていると語った。
TechCrunchが調査したデータには、同社のソースコードや社内データベースだけでなく、数千件の警察ファイルも含まれていた。いずれのデータも暗号化されていないようだ。
データには、今後の襲撃の詳細な戦術計画が記された数十のフォルダに加え、容疑者の顔写真、指紋、生体認証情報、その他の個人情報が含まれていた。その中には、襲撃時に居合わせた可能性のある人物(子供、同居人、ルームメイトなど)に関する情報も含まれており、中には「犯罪歴なし」とされている者もいた。文書の多くには「法執行機関専用機密」や「管理文書」と記され、警察署外への開示は禁止されていた。
一部のファイルにはテスト文書というラベルが貼られており、「スーパーマン」や「キャプテン・アメリカ」といった偽の警官名が使用されていた。しかし、ODINはハリウッド俳優など、実在の人物も使用しており、彼らが名前の使用に同意した可能性は低い。「フレズノの家宅捜索」と題された文書には、ODINのフロントエンドシステムのテストであることを示唆するマークは付いていなかったものの、襲撃の目的が「住む家を見つけること」であると記されていた。
流出したODINデータキャッシュには、性犯罪者監視システムも含まれていました。このシステムにより、警察や仮釈放官は有罪判決を受けた犯罪者を登録、監督、監視することができます。キャッシュには、カリフォルニア州への登録が義務付けられている性犯罪者に関する1000件以上の文書が含まれており、氏名、自宅住所(収監されていない場合)、その他の個人情報が含まれていました。
データには、警察が個人を特定または追跡するために使用する監視技術など、個人に関する大量の個人情報も含まれています。TechCrunchは、警察に顔認証技術を提供するAFR Engineという顔認識エンジンと照合された人物の顔を示すスクリーンショットを複数発見しました。ある写真には、警察官が別の警察官のスマートフォンのカメラの前で人物の頭を無理やり押さえつけている様子が写っています。
他のファイルには、警察が自動ナンバープレート読み取り装置(ANPR)を使用しており、容疑者が最近数日間で運転した場所を特定できることが示されている。別の文書には、有罪判決を受けた犯罪者の携帯電話のテキストメッセージや写真を含む全内容が含まれていた。これは、犯罪者が保護観察中に実施されたコンプライアンスチェック中に、フォレンジック抽出ツールによって抽出されたものである。あるフォルダには、警察のやり取りの音声録音が含まれており、中には警察官が暴力を振るう様子も録音されていた。
TechCrunchは、盗まれたデータの中にファイルが見つかった複数の米国警察署に連絡を取ったが、コメントの要請にはいずれも応じなかった。
ODINのウェブサイトは改ざんされてからすぐにオフラインとなり、木曜日の時点でもアクセスできない状態となっている。
ODIN Intelligence の侵害についてさらに詳しい情報をご存知の場合は、Signal および WhatsApp のセキュリティ デスク (電話番号 +1 646-755-8849、または電子メール[email protected])にご連絡ください。
ODIN Intelligenceのウェブサイトが改ざんされ、ハッカーが侵入を主張
