セキュリティ企業が管理する約2800万件の生体認証記録が流出していたことが判明

イスラエルのVPN監査サービス企業vpnMentorにより、セキュリティサービス「BioStar 2」での大規模なデータ流出の発生が明らかになりました。流出したデータには生体認証に使用される指紋や顔写真などのほか、暗号化されていないIDやパスワードなどを含む合計2780万件以上ものデータが含まれていたとのことです。

Report: Data Breach in Biometric Security Platform Affecting Millions of Users
https://www.vpnmentor.com/blog/report-biostar2-leak/

データ流出が指摘された「BioStar 2」は、韓国の企業Supremaが政府機関・銀行・大学・防衛請負業者・警察・多国籍企業など全世界で150万カ所の施設に提供しているセキュリティサービス。Supremaはセキュリティの分野で世界上位50社に入る企業であり、ヨーロッパ・中東・アフリカ地域での生体認証サービスではシェア第1位という大手企業です。

Supremaは2019年7月に、合計83カ国5700カ所の施設で使用されているアクセス制御システム「AEOS」とBioStar 2のシステムを統合し、データベースの拡充を行いました。vpnMentorの研究者であるNoam Rotem氏とRan Locar氏は、vpnMentorが実施していた別のプロジェクトに携わる中で、BioStar 2のデータベースが暗号化されていない状態で、オープンなインターネット上に保存されていることを偶然発見しました。

vpnMentorが公開した以下のムービーを再生すると、データーベースの内容が見放題になっている様子が分かります。

Report: Biostar 2 Data Leak - YouTube


ムービーが開始すると、データベースのインデックス情報が表示されますが、閲覧には特別なツールではなくウェブブラウザが使用されており、インターネットで簡単に見ることができるようになっていたことがうかがえます。

さらに、ユーザーIDやパスワード、ユーザー名などの情報や……

データーベースの構築に使用されているオープンソースソフトウェアElasticsearchの分析コンソールまで見えてしまっています。

このデータベースは2780万件以上のレコードと合計23GB分のデータで構成されており、中にはクライアントの指紋・顔認証データ・顔写真・平文のユーザー名やパスワード・施設への入退場記録・従業員の住所やメールアドレスなどの個人情報・モバイル機器のOSなどの情報が含まれていたとのことです。

なお、vpnMentorは情報流出の被害を受けた企業の一部を例として公開していますが、その中には東京にコワーキングスペースを設けているInspired.Labの名前もあり、日本企業も被害を受けていることが分かります。

vpnMentorは、Supremaが協力的ではなかったことも報告しています。2019年8月5日にこの問題を確認したvpnMentorの研究チームは、メールでこのことをSupremaに通報しましたが、何回メールを送っても返答はありませんでした。そこで、ドイツ支社のオフィスに電話してみたところ、突然「vpnMentorとは話せません」といわれて電話が切られてしまったとのこと。また、EU一般データ保護規則に基づき選任されているBioStar 2のコンプライアンス担当責任者に問い合わせようとしましたが、連絡がつきませんでした。

最終的に、もっとも協力的だったフランス支社の対応によりデータベースは閉鎖されましたが、対応措置が講じられたのはvpnMentorが問題を発見してから1週間以上が経過した2019年8月13日のことでした。

vpnMentorの研究チームは「BioStar 2のメーカーが基本的なセキュリティ対策を講じていれば、このリークは簡単に回避できたはずです」と述べるとともに、データベースは既に悪質なハッカーの手に渡ってしまった可能性があると指摘し、被害を受けたクライアントやユーザーに対してすみやかに対策を講じるよう勧めています。