Amazonのクラウドサービス上で9340万人分の個人情報が閲覧可能になっていたことが判明

by simone.brunozzi

Amazonのクラウドサービス「アマゾン ウェブ サービス(AWS)」に、メキシコ人の有権者データ9340万人分がアップロードされており、氏名・住所・生年月日・身分登録番号といった個人情報に誰でもアクセスできる状態だったことが判明しています。

≫ Personal info of 93.4 million Mexicans exposed on Amazon (UPDATED)
http://www.databreaches.net/personal-info-of-93-4-million-mexicans-exposed-on-amazon/

今回流出したデータは、MacKeeper Securityの研究者Chris Vickery氏が発見したもの。データは「padron2015」という名前で、容量は132GBあり、合計で9342万4710人の投票人登録情報が含まれていたとのこと。Vickery氏は流出データのキャプチャ画像をMacKeeperのブログにアップロードしており、データには、個人の氏名、住所、生年月日、両親の姓、職業、投票用のコードが含まれていましたが、証明写真や金融機関情報は含まれていないそうです。

データが流出したのはAmazon側の問題ではなく、アップロードされたデータにパスワードなどの保護が何もかかっていなかったことが原因と見られています。メキシコ人の有権者登録情報がなぜアメリカにあるAmazonのクラウドサーバーにアップロードされていたのか、さらに個人情報を含むデータがメキシコ国内で適切に扱われなかった原因については、現在メキシコの選挙機関Instituto Nacional Electoral(INE)などが究明にあたっているとのこと。

また、流出したデータの所有者や、AWSにデータをアップロードした人物が誰なのかは分かっていませんが、元データはINEが作成したものと見られていて、メキシコ国内の9つの政党はこのデータのコピーを持っていたとのこと。

Vickery氏はデータ流出に気付いた直後に、INEや、アメリカ国務省、情報部、国土安全保障省、情報セキュリティ対策組織、さらにメキシコ大使館などの国家機関に警告を送ったものの、有効な回答は得られなかったとのこと。そこでハーバード大学の研究チームに連絡したところ、在籍していたメキシコ人の学生が自分の父親の有権者登録情報が含まれていることを発見、流出したデータが本物であるという確認が取れたそうです。その後INEからVickery氏に連絡があり、現在は有権者登録情報のデータは安全に守られているとのこと。

INEの発表によれば、2015年2月時点ではメキシコ国内の有権者登録情報は8100万人分で、流出したデータは重複があったとのこと。実際に流出した個人情報は8100万人～8700万人分だと推測されています。

INEの会見の様子は以下から見ることができます。