ほぼ全国民のIDや納税者番号を含む個人情報が流出したエクアドル、データ漏洩の詳細はこんな感じ

by dfespi

2000万人を超える大規模な情報流出をウェブプライバシーとVPNに関するツールを提供するvpnMentorの調査チームが報告しました。vpnMentorによると、流出した情報はエクアドル人の納税者識別番号や国民識別番号を含み、長期にわたるプライバシー問題を引き起こす可能性があるとのこと。vpnMentorはブログで流出の詳細について述べています。

Report: Ecuadorian Breach Reveals Sensitive Personal Data
https://www.vpnmentor.com/blog/report-ecuador-leak/

調査チームを率いるNoam Rotem氏とRan Locar氏は「Novaestrat」というエクアドル企業のサーバーがアメリカのフロリダ州マイアミに保護されていない状態で存在することを発見し、2000万人超の個人情報が流出していたと発表しました。Novaestratはデータ分析や戦略マーケティング、ソフトウェア開発を行うコンサルタント企業です。

世界銀行によると、2017年時点のエクアドルの人口は約1660万人であり、エクアドルの州司法長官事務所は、今回流出した情報には存命のエクアドル国民に加え、故人の情報が含まれている可能性があると述べています。なお、このデータ漏えいで実際にどのくらいの人々が影響を受けるのかは記事作成時点ではわかっていません。

◆どのような情報が流出したのか？
データベースには18GBにも及ぶ、以下のような個人情報が含まれていました。

・氏名(名字、ミドルネーム、下の名前を含む)
・性別
・生年月日
・出身地
・自宅住所
・メールアドレス
・自宅、職場、および携帯電話の番号
・配偶者の有無
・結婚日(該当する場合)
・死亡日(該当する場合)
・教育レベル

上記の情報が記された登録内容の一例は以下の通り。「cédula」は10桁の国民識別番号を指しています。

また、データベースには政府のレジストリや自動車会社のAeade、国立銀行のBiessといったさまざまな機関をソースとした情報が含まれていました。Biessの口座に紐付けられたデータは以下のような感じ。

・口座のステータス
・口座の残高
・融資額
・クレジットタイプ
・所有者の最寄りの銀行支店の場所と連絡先

口座情報がついているタイプのデータはこんな感じ。「index-biess」「type-biess」と冒頭に書かれ、「estado(ステータス)」「topo_credito(クレジットタイプ)」「biess_correo(Biessのメールアドレス)」といった情報が丸わかりになっています。

さらに、母親、父親、配偶者のフルネームまでデータに含まれます。ここにも「cedula」と書かれており、本人だけでなくその家族の国民識別番号まで知ることができてしまいます。

加えて、以下のような雇用情報も含まれていたとのこと。

・雇用者の名前
・雇用者の所在地
・雇用者の納税者識別番号
・職名
・給与情報
・仕事の開始日
・仕事の終了日

また、納税者識別番号を通じてAeadeの車の所有者に関する「車両ナンバー」「製造」「モデル」「購入日」といった詳細情報が紐付いていることも。個人の情報に加えて、機密情報を含む企業の詳細情報がデータベースに含まれることもあったそうです。

◆どんな危険があるか？
流出したデータにメールアドレスや電話番号が含まれるため、まず詐欺やスパム、フィッシング攻撃のターゲットになる可能性があります。また家族関係を含めた個人情報がオープンになってしまったことで、いわゆる振り込め詐欺の手口が巧妙化することも考えられます。最も危険性が高いと考えられているのは、国民識別番号と納税者識別番号が漏れたことであり、悪意ある攻撃者が銀行口座にアクセスするために必要な情報を入手することもありえるとのこと。

データベースは記事作成時点でクローズの状態ですが、一度流出した情報を元に戻すことはできず、既に悪意ある人の手に情報が渡ってしまった可能性もあります。今回のようなデータ漏えいを防ぐためにも、「サーバーをセキュアに保つ」「適切なアクセスルールを実装する」「全システムへのアクセスには認証を要する」といった方法を採ることが大切だとvpnMentorは呼びかけました。

なお、ジャーナリストでありウィキリークスの創設者として知られるジュリアン・アサンジは2012年6月にエクアドル大使館に逃げ込み、以後7年間を大使館で過ごしたのちに2019年4月11日にイギリス警察に逮捕されました。アサンジの名前もこのデータベースで確認されています。

vpnMentorの調査報告を受けてメディアが報道を始めると、エクアドル政府はすぐさま調査を開始しました。

IT Firm Manager Arrested in the Biggest Data Breach Case of Ecuador’s History
https://thehackernews.com/2019/09/ecuador-data-breach.html

Arrest made in Ecuador's massive data breach | ZDNet
https://www.zdnet.com/article/arrest-made-in-ecuadors-massive-data-breach/

そして2019年9月16日(月)に開かれたプレスカンファレスで、エクアドルの通信および情報社会省の代表は、Novaestratの本社にデータはないと見られることや、権限なく個人情報を散布しプライバシーを侵害した疑いで調査が進められていることを説明。また、Novaestratがエクアドル政府のサーバーをハッキングしたという事実はないことを述べました。Novaestratは前政権の期間中に政府の仕事を請け負っており、その際にデータにアクセスしたものだとみられています。

カンファレスから数時間後、連邦警察がNovaestratのオフィスとして機能する、ゼネラルマネージャーであるウィリアム・ロベルト・ガルセスの自宅に向かいました。エクアドルの内務大臣であるマリア・ポーラ・ロモ氏のツイートによると、ガルセスの自宅からはコンピューター、メモリ、文書などが押収され、ガルセス自身も勾留されたとのこと。

尋問のため首都のキトへと連行されたガルセスには、今後、刑事告発される可能性があるとのこと。

エクアドル政府は今回の一件を受けて、今後はプライバシーを侵害し、権限なく個人情報を公開した民間企業に対して制裁を科す予定であることを述べました。また、過去8カ月にわたって議論されてきた新しいデータプライバシー法が近いうちに制定される予定である点にも言及しています。