情報はどこから漏れる? 大企業の「しくじり」から見えてきた重点対策箇所とはあの大規模インシデントをおさらい【前編】

ユーザーの個人情報を抱えるWebサイトを運営する企業にとって、情報の漏えいは避けるべき事態だ。過去に発生した大規模な情報漏えい事件では何が事故の引き金となったのか。5件紹介する。

2025年04月11日 06時00分 公開
[Sharon SheaTechTarget]

 エンドユーザーのアカウント情報を狙ったサイバー攻撃は巧妙化する一方だ。大規模な情報漏えいの事例にはどのようなものがあるのか。全10件を前後編にわたって紹介する。

1.Yahoo(流出したデータ件数:30億件)

 2016年12月、検索大手Yahooは2013年8月のサイバー攻撃で10億件の個人情報が流出したと発表した。しかし、2017年10月に通信大手Verizon CommunicationsがYahooを買収した後の調査によると、実際の被害は30億件に及ぶことが判明した。影響を受けたユーザーアカウントは以下のサービスに関連付けられるものだ。

  • 「Yahoo! Mail」
  • 短文投稿サイト「Tumblr」
  • 画像共有サービス「Flickr」
  • オンラインスポーツゲームプラットフォーム「Yahoo Fantasy Sports」
  • 「Yahoo! Finance」

 流出した個人情報の詳細は、ユーザーの氏名、生年月日、電話番号、パスワード、セキュリティ質問(本人確認のための質問)とその回答、パスワードリセット用のメールアドレスだ。クレジットカード情報や銀行口座情報は漏えいしなかった。インシデント発生時、Yahooは2013年以降変更されていない全てのパスワードを強制的にリセットし、暗号化されていないセキュリティ質問を無効化した。

2.National Public Data(流出したデータ件数:29億件)

 2023年12月、データ売買事業者のNational Public Data(NPD)がサイバー攻撃を受け、同年8月にデータの漏えいが発生したと発表した。同社は企業や調査機関、採用企業向けにバックグラウンドチェック(採用候補者の経歴や身上の調査)のサービスを提供していた。

 盗まれたのは、米国、英国、カナダのユーザーに関する29億件のデータだ。内訳としては氏名、メールアドレス、電話番号、社会保障番号、住所、生年月日となる。

 さらに、セキュリティ分野の専門家であるブライアン・クレブス氏によると、NPDの関連会社が運営する「RecordsCheck.net」で、同Webサイトの管理者パスワードが公開されていた。

 NPDは2024年10月に破産を申し立て、同年12月に事業を終了。RecordsCheck.netも閉鎖された。

3.Real Estate Wealth Network(流出したデータ件数:15億件)

 2023年12月、サイバーセキュリティの専門家であるジェレミア・ファウラー氏が、Real Estate Wealth Networkのデータベースがインターネット上で誰でもアクセス可能な状態になっていることを発見した。同社は、不動産関連の教育やサービスを提供している。

 データベースには、著名人や政治家をはじめとする顧客や企業の情報が登録されており、データ量は1.16テラバイト(TB)にも及ぶ。登録情報の詳細は以下の通り。

  • 住所
  • 不動産の購入価格
  • 購入日
  • 住宅ローン会社
  • ローンの金額
  • 納税者番号
  • 税金の支払い状況

 ファウラー氏はReal Estate Wealth Networkに連絡し、データベースは速やかに保護された。ただし、データベースがどの程度の期間公開されていたかは不明だ。

4.インドの個人識別番号制度Aadhaar(流出したデータ件数:11億件)

 インド固有識別番号庁(UIDAI:Unique Identification Authority of India)が提供する個人識別番号制度「Aadhaar」(アーダール)に関連付く11億人分の個人情報が流出した。

 インドの新聞「The Tribune」は2018年1月、同紙の記者がソーシャルネットワーキングサービス(SNS)「WhatsApp」経由である人物と接触し、500インドルピー(2018年当時約8ドル)を支払い、アーダールのデータベースに不正にアクセスできるコードを入手したと報じた。記事によると、コードを使って、名前、生年月日、メールアドレス、電話番号、郵便番号などの個人情報にアクセスできたという。さらに300インドルピー(約5ドル)を追加で支払ったところ、任意のIDカードを印刷できるソフトウェアを入手できた。

 コードやソフトウェアの販売者は、アーダールの元職員を通じてデータベースにアクセスしたグループの一員だった。このデータベースには指紋や虹彩といった生体情報も含まれていた。データベースは州営の公益事業会社によって管理されており、不正にアクセス可能なAPIを使用して登録者の本人確認を実施していたという報道がある。

5.上海国家警察(流出したデータ件数:10億件)

 2022年7月、「ChinaDan」と名乗るインターネットユーザーが、上海国家警察(Shanghai National Police)のデータベースから10億人分の個人情報を入手し、ハッカーフォーラム「Breach Forums」で販売すると投稿した。通信社Bloombergをはじめとする複数のメディアによると、このデータは23TBに及び、Alibabaのクラウドサービス「Alibaba Cloud」上に構築されていたとされる。流出した情報には以下が含まれていた。

  • 氏名
  • 住所
  • 出生地
  • 電話番号
  • 写真
  • ID番号
  • 犯罪記録

 米紙「The New York Times」(NYT)や「CNN」は、ChinaDanが公開したサンプルデータの正当性を複数の個人に確認し、情報が本物であると報じた。

 インターネット上の漏えい情報などを掲載するWebサイト「LeakIX」によると、データベースはオープンソースSIEM(セキュリティ情報イベント管理)ツール「Elastic Stack」(旧ELK Stack)で「Kibana 5.5.3」を使用していたが、Kibana 5.5.3は古いバージョンであり、データベースのゲートウェイはパスワードで保護されていなかった。

 ChinaDanがデータの販売について投稿した直後に、データベースへのアクセスは遮断された。だが、ある専門家は、データベースが2021年4月から誰でもアクセスできる状態だった可能性があると指摘している。LeakIXは、AlibabaがKibana 5.5.3を実行していた全てのサーバを2022年7月に非公開化またはシャットダウンしたと報告している。


 後編も引き続き、大規模な情報漏えい案件5つを紹介する。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news130.jpg

Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...