FBIが米国民の位置情報データを購入、長官認める

nosa

2026.03.19

FBIが米国民の位置情報データを購入、長官認める

TechCrunch – March 18, 2026

米FBIは捜査支援を目的として、米国民の膨大なデータと位置情報履歴の購入を再開したようだ。カシュ・パテル長官が18日に議会で証言したと報じられている。

Politicoによると、FBIがこうしたデータへのアクセス権をデータブローカーから購入していると認めたのは2023年以来。位置情報データを含むこれらのデータの多くは、一般消費者向けのスマホアプリやゲームから入手されているという。

米国民の位置情報データを購入しないとFBIが約束できるかどうか問われたパテル長官は、「任務遂行のためにあらゆる手段を用いる」と回答。「憲法および電子通信プライバシー法に準拠した市販の情報を購入している」と説明したが、ロン・ワイデン上院議員（オレゴン州・民主党）は令状なく米国民の情報を購入することを「憲法修正第4条の迂回戦術であり言語道断な行為」と断じたとされる。

この憲法修正第4条とは、米国民を端末の捜査やデータ押収から保護する条項だ。FBIの広報はTechCrunchの聞き取りに対し、パテル長官の発言以上のコメントを控えた上で、位置情報データの購入頻度や、ブローカーの詳細といった質問に答えなかったと記されている。

米政府機関は通常、犯罪の証拠に基づいて捜査令状が発行されなければ、テクノロジー企業や通信会社に個人情報の提供を求めることができない。しかし、近年はこの法的手続きを回避する動きが広がっており、電話アプリやその他の商用追跡技術で得た大量の位置情報データを持つ企業からデータを購入するケースが増えているそうだ。

なお、ワイデン議員など複数の議員は、超党派の上下両院合同法案「政府監視改革法案」を先週提出したとのこと。この法案は連邦機関がデータブローカーから米国民の情報を購入する際、事前に令状を取得することを義務付けているという。

米CISA、ZimbraのXSS脆弱性に対処すべくパッチ適用を指示（CVE-2025-66376）

BleepingComputer – March 18, 2026

米サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は連邦政府各機関に対し、現在も悪用されているZimbra Collaboration Suiteの脆弱性にパッチを適用するよう指示した。

この重大なセキュリティ脆弱性はCVE-2025-66376として追跡され、昨年11月初旬に修正されている。Classic UIに存在する格納型クロスサイトスクリプティング（XSS）の脆弱性に起因し、EメールのHTML内のCascading Style Sheets（CSS）の@importディレクティブを不正使用することにより、未認証のリモート攻撃者に悪用される恐れがあるという。

Zimbra開発元のSynacorは攻撃の影響について詳細を明らかにしていないが、有害なHTMLメールを介して任意のJavaScriptを実行するために悪用された場合、攻撃者にユーザーセッションを乗っ取られ、侵害されたZimbra環境内の機微データを盗まれる危険性があるようだ。

CISAは18日、この脆弱性をKEV（悪用が確認済みの脆弱性）カタログに追加するとともに、2021年11月に発行された拘束力のある運用指令（BOD）22-01に基づき4月1日までにサーバーのセキュリティ対策を講じるよう命じている。

Zimbraの脆弱性は標的にされやすく、ここ数年に世界中で脆弱なメールサーバーの侵害が相次いでいる。ロシア系ハッキンググループ「Winter Vivern」が反射型XSS攻撃を仕掛け、NATO加盟国政府のZimbra Webメールポータルや政府関係者・軍人・外交官のメールボックスに侵入した事例もあった。