12億人分もの個人情報がオンラインのサーバー上に誰でもアクセス可能な状態で保管されていたことが判明

by Pixabay

2019年10月16日、セキュリティ研究者のBob Diachenko氏とVinny Troia氏が、4TBを超える大量の個人情報を含むElasticsearchサーバーを発見しました。サーバーはセキュリティ保護されておらず誰でもアクセス可能な状態で、データベースに含まれていた個人情報の件数は12億を超えていると報じられています。

1.2 billion people exposed in data leak includes personal info, LinkedIN, Facebook
https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/

Mysterious User Hoarded Records on 1.2B People Via Leaky Database | News & Opinion | PCMag.com
https://www.pcmag.com/news/372140/mysterious-user-hoarded-records-on-1-2b-people-via-leaky-dat

1.2 Billion Records Found Exposed Online in a Single Server | WIRED
https://www.wired.com/story/billion-records-exposed-online/

Diachenko氏とTroia氏が発見したデータベースには、重複を除いても12億人もの個人情報が含まれており、2人は「単一の組織からデータが漏えいした事例としては歴史上最大のものの一つ」と指摘しています。データベースが発見されたElasticsearchサーバーは暗号化されておらず、ウェブブラウザからパスワードや認証なしでアクセス可能な状態だったとのこと。

今回の情報漏洩を特殊なものに位置づける点として、2人は「個人情報が2つの異なるデータエンリッチメント企業から収集されたように見える」点を挙げています。データエンリッチメント企業とは、非常に低価格で個人に関する名前やメールアドレスといった基本的な情報を取得し、そこにさまざまなデータを追加してユーザープロファイルを拡張・販売する事業を行う企業を指します。

アメリカのマーケティング企業であるExactisのデータ流出事例などからもわかるように、データエンリッチメント企業の持つ個人情報は単なる名前やメールアドレスだけでなく、宗教や趣味、財政状況、ペットの情報まで多岐に及びます。データエンリッチメント企業は、ウェブ上やSNS、あるいはサードパーティーのデータブローカーから公的記録を購入するなどして、ユーザープロファイルの充実を図っているそうです。

by Pixabay

12億人分の個人情報が詰まったデータベースの内容を分析したところ、Diachenko氏らはPeople Data Labs(PDL)とOxyDataという、2つのデータエンリッチメント企業からの情報が含まれていることに気づきました。データベースの個人情報には、個人の名前やメールアドレス、固定電話番号、LinkedInやFacebookのプロフィールなどが含まれていましたが、これらの情報は2つの企業が所有するデータとほぼ完全に一致していたとのこと。

その一方で2人は、今回発見されたサーバーの所有者がPDLでもOxyDataでもなかったと報告しています。これにより、「サーバーの所有者はどのようにして2つのデータエンリッチメント企業が持つ情報を取得したのか？」という問題が浮上しますが、2人はサーバー所有者がPDLとOxyDataの顧客であった可能性を指摘。この場合、データは2つの企業から盗まれたというわけではないものの、「データが誤用されている」という可能性があります。

データが誰も気づかないうちにPDLやOxyDataから盗み出された可能性もありますが、Troia氏はハッキングするよりもデータを正当な方法で購入する方が簡単であることから、企業がデータ侵害を受けた可能性は低いと主張しています。「今回のケースが不正なアクセスによるデータ侵害でなかった場合、誰がデータ漏えいの責任を負うのでしょうか？」と、2人は問題提起を行っています。すでにデータベースの存在は連邦捜査局(FBI)に通知され、それから数時間のうちにサーバーとデータベースがオフラインにされたとのことですが、記事作成時点ではFBIからの正式なコメント等は得られていません。

by geralt