セキュリティ

約8億のメールアドレスおよび紐付けられた個人情報が流出、流出元のメール検証サービスは速攻でオフラインに

by ribkhan

7億以上の固有メールアドレスを含む8億件越えのメール情報が、MongoDB上で保護されずに放置されていることを、セキュリティ研究者のBob Diachenko氏とVinny Troia氏が発見しました。

800+ Million Emails Leaked Online by Email Verification Service - Security Discovery
https://securitydiscovery.com/800-million-emails-leaked-online-by-email-verification-service/

MongoDBで公開されていた150ギガバイトのデータベースは4つのコレクションに分類されていました。特に「mailEmailDatabase」と名付けられたコレクションには「Emailrecords」「emailWithPhone」「businessLeads」という3つのフォルダが含まれており、Emailrecordsは7億9817万1891件、emailWithPhoneは415万600件、businessLeadsは621万7358件の情報が存在しました。


Emailrecordsにはメールアドレスのほか郵便番号、電話番号、住所、性別、ユーザーIP、誕生日といった個人情報も含まれていたとのこと。


さらに住宅ローン、金利、メールアドレスにひもづけられたFacebookやInstagram、LinkedInのアカウント、信用情報の特徴(平均、平均以上など)といった情報が含まれる記録も多数存在しました。そして別のコレクションには企業名・年間売上高・会社のウェブサイト・ファックス番号や、「SIC」「NAIC」というような会社の識別コードといったビジネス促進に使われる情報も存在していたといいます。一方で、社会保障番号やクレジットカードの番号などは含まれていませんでした。

流出したデータは数が膨大であるという点で研究者たちを驚かせましたが、ビジネスインテリジェンスデータと呼ばれる、企業の収益や従業員データが含まれていた点でも通常の情報流出とは異なっていました。これは、情報の流出源がメール検証サービス「Verifications.io」であったためだとみられています。Verifications.ioはDiachenko氏がカスタマーサポートにデータ流出のメールを行ったその日にオフラインとなったとのこと。


あまり知られていないことですが、メールアドレスが有効であるかどうかを確認する「メール検証サービス」は、マーケティングにおいて非常に重要な役割を果たしています。マーケティング会社や企業はスパムメールを確実に届けたいと望みます。しかし、マーケティング会社の多くは顧客のメールアドレスリストを持っていても、そのメールアドレスが有効なものであるかどうかがわかりません。そこで、リスト内のメールアドレスにメールを送信して「ちゃんと届くアドレス」と「跳ね返ってくるアドレス」を見分けるという、Verifications.ioのような外部サービスに委託を行うわけです。Troia氏は「確認が取れているわけではない」と前置きしつつも、流出したデータが膨大なのは、Verifications.ioの顧客データ全てが含まれるためではないかとみています。

悪意ある攻撃者が企業のハッキングをしたいと考えており、可能性の高いメールアドレスやパスワードを大量に入手していたとしても、その1つ1つのアカウントを使ってシステムやサービスにログインするのは非常に手間と時間がかかります。しかし、このメールアドレスのリストをVerifications.ioのようなサービスにアップロードすれば、Verifications.ioはユーザーに対して確認メールを送信し、どのメールアドレスが跳ね返されてくるかどうかをみることで「実在する有効なアドレス」を確認可能になります。これにより、悪意ある攻撃者はターゲットとなる企業の「有効なアドレス」を入手できるわけです。

Diachenko氏のメールに対するVerifications.ioの返答は非常に速く、「あなたが発見したデータは公開されているものでクライアントのデータはない」という内容がメールで説明されたとのことですが、「それではデータベースがクローズされて、サービスがオフラインにされたことの理由がつかない」とDiachenko氏は述べています。データベースにはユーザーリスト、FTPサーバーにアクセスしリストのアップロード・ダウンロードを行うための資格情報、といった内容が含まれていたことから、「流出した情報はパブリックデータではない」とDiachenko氏はみています。

この記事のタイトルとURLをコピーする

・関連記事
自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」 - GIGAZINE

5000万人の個人情報が流出した件でFacebookが調査結果を公表、自分が被害を受けたか確認する方法あり - GIGAZINE

流出したアカウント情報を使って自動で不正アクセスする「Credential Stuffing攻撃」とは? - GIGAZINE

ランダムな文字列っぽい「ji32k7au4a83」というパスワードが大量のユーザーに使われていた理由とは? - GIGAZINE

無料で自分のパスワードが過去の漏洩データに載った危険なものかどうかをチェックできるサービス「Pwned Passwords」 - GIGAZINE

・関連コンテンツ

in セキュリティ, Posted by darkhorse_log

You can read the machine translated English article here.