タイの社会保険事務所(SSO)のウェブサイトに深刻なセキュリティ上の欠陥があり、アヌティン首相を含む国民の個人情報が不正に閲覧された問題が発覚した。6,600万人分のデータがダークウェブで販売されている疑いも浮上している。
ソフトウェア専門家のタナラット・クアワッタナパン氏がSSOサイトの脆弱性を指摘したことで問題が表面化した。同氏は「基本的な知識しかない人でも他人になりすまし、権利を悪用したり個人情報にアクセスしたりできる状態だった」と警告している。
実際に何者かがアヌティン首相の個人データを使ってSSOの会員登録を不正に行った。これにより首相の社会保険加入履歴(2004年から月額750バーツの積立記録)や、交通違反歴(23件、各500バーツの罰金)まで閲覧可能な状態になっていた。
SSOのシステムには多要素認証(MFA)が導入されておらず、本人確認の仕組みが極めて脆弱だった。タナラット氏はAAL2(認証保証レベル2)の導入が必要だと指摘している。さらに、6,600万人分のタイ国民の個人情報(氏名、身分証番号、両親の情報、医療情報、交通違反歴、社会保険加入履歴)がダークウェブ上でわずか1,650バーツ(約8,200円)で売りに出されているとの報告もある。
SSOは当初データ流出の報告を否定していた。その後セキュリティ上の問題を修正したとされるが、公式な声明や説明は出されていない。タイでは偽の燃料クーポンSMSで銀行口座が空になる詐欺事件も発生しており、デジタルセキュリティの脆弱さが繰り返し露呈している。政府機関のシステムにすら基本的な認証機能が欠如している現状は、在タイの外国人にとっても無関係ではない。
