Google Appsに登録された28万件ものWHOIS情報が漏えい、非公開のはずの2013年中期以降の名前や住所がダダ漏れに

by Christian Ditaputratama

Google Apps for Workに登録された名前・住所・メールアドレスといったドメイン情報は、個人情報非公開のオプションを選ぶことで本来なら秘匿され、一般公開されないはずなのですが、28万2000件以上のドメイン情報がWHOISに直接登録されていたことが分かりました。

Epic Google snafu leaks hidden whois data for 280,000 domains | Ars Technica
http://arstechnica.com/security/2015/03/epic-google-snafu-leaks-hidden-whois-data-for-280000-domains/

Googleのパートナー企業であるeNomはドメイン管理ツールを提供しており、そのサービスの一つとして年に6％の追加料金を支払うことでドメイン登録の際に個人情報を漏らさないようにすることができます。裁判所命令が下らない限り、情報はeNomの手によって秘匿され、一般公開は行われないというサービスで、Google Appsの使用者は、このサービスを無料で使用することができました。しかし、Google Appsに登録され、eNomを介して秘匿されたはずのユーザーのドメイン情報28万2867件が、実際は公開状態にあったことが判明しました。

コンピューターネットワーク機器開発会社Cisco Systems G.K.の調べによると、2013年の中頃からGoogle Appsの欠陥によって名前・電話番号・住所・メールアドレスといった個人情報が流出。いったん非公開として登録された情報が、バグによって、ドメイン登録を更新すると公開状態になってしまったとのこと。2015年の2月にCisco Systemsが事態に気づき、5日後にはバグが修正されましたが、約2年の間、情報は流れ続けていたわけです。

by Ron Bennetts

WHOISのデータには偽名や嘘の住所などが使われることも多く、そもそも登録された情報の信頼性は低いのですが、「Googleが『情報は秘匿されます』と主張しているから」という理由で正しい情報を手渡してしまった人も多いはず。また、例え嘘の情報であっても、本人と情報が登録された団体の間には何らかのつながりが残ってしまうため、そこから悪意ある人が情報を引き出すことも可能と言われています。

Googleは2015年3月12日にこの件についての説明をユーザーに送信。「Google Appsのドメイン登録システムに欠陥があったことをお知らせします。このような事態になり、誠に申し訳ありません。我々はすでにこの欠陥に対処済みです。オプションとしてドメイン情報非公開を選択していたお客様は、登録初年度にはWHOISに情報が載ることはなかったのですが、Google Appsのドメイン更新システムの欠陥により、翌年以降にドメイン登録を更新した際、eNomのドメイン代行サービスの対象範囲外になってしまいました。その結果、お客様の情報がWHOISに直接登録されることとなりました」という内容がメールには書かれていました。

WHOISに直接登録された28万以上の個人情報にアクセスすることは、素人にとって簡単ではありません。しかし、Cisco Systemsの研究者は「情報を見つけるという目的を持った人々なら難しいことではない」と問題点を指摘。現在は再び非公開状態にあるドメイン情報ですが、2年の間に悪意のある誰かが情報を取得しブラックマーケットで販売していてもおかしくないとのことです。

by Perspecsys Photos