80億件以上もの「インターネットの利用ログ」を含んだデータベースが流出

タイの最大手通信企業であるAdvanced Info Service(AIS)が、データベースに登録されている80億件以上・計4.7TBにもわたるインターネット利用記録を流出させていたことが判明し、急きょデータベースをダウンさせたと報じられています。

Thai Database Leaks 8.3 Billion Internet Records
https://rainbowtabl.es/2020/05/25/thai-database-leaks-internet-records/

AIS plays down 8.3bn-record leak
https://www.bangkokpost.com/thailand/general/1924012/ais-plays-down-8-3bn-record-leak

A massive database of 8 billion Thai internet records leaks | TechCrunch
https://techcrunch.com/2020/05/24/thai-billions-internet-records-leak/

セキュリティ研究者のジャスティン・ペイン氏は、AISの子会社であるAdvanced Wireless Network(AWN)が管理するデータベースがインターネット上に公開されていることに気づいたとのこと。調査の結果、データベースは2020年5月1日に公開され、一般からもアクセス可能になっていたことがわかりました。

このデータベースには2020年5月21日時点で83億3618万9132個のドキュメントが格納されていました。このドキュメントは2020年4月30日20時から5月7日7時までの、およそ33億7000万件にわたるDNSクエリのログと約50億行ものNetFlowログが記録されていました。AWNはこれらのログデータを視覚的に閲覧できるツールを使用していたため、「誰がいつどこにアクセスしているのか」という情報が誰にでも理解できる形でオンライン上に公開されていたということになります。

もちろんこの通信を行った個人がどこの誰なのかを特定することは不可能ですが、それでも通信を行った個人が「どういうデバイスを持っていて、どういうアプリを使っているのか」は、データベースに残っているログからすぐに分かります。実際にペイン氏は例として単一のIPの通信ログを解析し、「Androidデバイス・Windowsデバイス・Appleデバイスを持っている」「Google ChromeとMicrosoft Officeを使っている」「日常的にFacebook・YouTube・WeChatなどにアクセスしている」「ウイルス対策にESETを使用している」という情報を特定。ペイン氏は「DNSクエリログは機密情報として扱われるべきです」と述べています。

ペイン氏は2020年5月7日にデータベースの漏えいに気づき、5月13日から5月21日まで数度にわたってAISに連絡しましたが、反応が得られなかったと報告しています。そこで、IT系メディア・TechCrunchのザック・ウィッテーカー記者に協力を仰ぎ、タイの国家コンピューター緊急対応チームのThai CERTに報告。すると、5月22日にはデータベースにアクセスできなくなったとのこと。

ペイン氏は今回のような事態を避けるためにも、「DNS over HTTPS(DoH)やDNS over TLS(DoT)によって転送中のDNS通信をセキュアなものにしてインターネットサービスプロバイダー(ISP)がDNSクエリを確認・記録・閲覧・販売できないようにすべき」と主張しています。しかし、「DoHやDoTによってフィルタリングやペアレンタルコントロールが難しくなる」といった理由で、AISのような大手ISPはDoHやDoTの導入に反対の姿勢を見せています。

インターネットをより安全にする技術「DoH」に対して大手ISPが抱える懸念とは？ - GIGAZINE

AISの広報担当者はTechCrunchの報道について、「今回のデータベースの漏えいはネットワークを改善するためのテストの結果であり、顧客データが侵害されたり金銭的な損害が発生することはありません」「AISは顧客のプライバシーを重視し、常に最高の国際プライバシー基準を順守しています」とタイのメディアに対して主張しています。