ユーザーの個人情報を抱えるWebサイトを運営する企業にとって、情報の漏えいは避けるべき事態だ。過去に発生した大規模な情報漏えい事件では何が事故の引き金となったのか。5件紹介する。
エンドユーザーのアカウント情報を狙ったサイバー攻撃は巧妙化する一方だ。大規模な情報漏えいの事例にはどのようなものがあるのか。全10件を前後編にわたって紹介する。
2016年12月、検索大手Yahooは2013年8月のサイバー攻撃で10億件の個人情報が流出したと発表した。しかし、2017年10月に通信大手Verizon CommunicationsがYahooを買収した後の調査によると、実際の被害は30億件に及ぶことが判明した。影響を受けたユーザーアカウントは以下のサービスに関連付けられるものだ。
流出した個人情報の詳細は、ユーザーの氏名、生年月日、電話番号、パスワード、セキュリティ質問(本人確認のための質問)とその回答、パスワードリセット用のメールアドレスだ。クレジットカード情報や銀行口座情報は漏えいしなかった。インシデント発生時、Yahooは2013年以降変更されていない全てのパスワードを強制的にリセットし、暗号化されていないセキュリティ質問を無効化した。
2023年12月、データ売買事業者のNational Public Data(NPD)がサイバー攻撃を受け、同年8月にデータの漏えいが発生したと発表した。同社は企業や調査機関、採用企業向けにバックグラウンドチェック(採用候補者の経歴や身上の調査)のサービスを提供していた。
盗まれたのは、米国、英国、カナダのユーザーに関する29億件のデータだ。内訳としては氏名、メールアドレス、電話番号、社会保障番号、住所、生年月日となる。
さらに、セキュリティ分野の専門家であるブライアン・クレブス氏によると、NPDの関連会社が運営する「RecordsCheck.net」で、同Webサイトの管理者パスワードが公開されていた。
NPDは2024年10月に破産を申し立て、同年12月に事業を終了。RecordsCheck.netも閉鎖された。
2023年12月、サイバーセキュリティの専門家であるジェレミア・ファウラー氏が、Real Estate Wealth Networkのデータベースがインターネット上で誰でもアクセス可能な状態になっていることを発見した。同社は、不動産関連の教育やサービスを提供している。
データベースには、著名人や政治家をはじめとする顧客や企業の情報が登録されており、データ量は1.16テラバイト(TB)にも及ぶ。登録情報の詳細は以下の通り。
ファウラー氏はReal Estate Wealth Networkに連絡し、データベースは速やかに保護された。ただし、データベースがどの程度の期間公開されていたかは不明だ。
インド固有識別番号庁(UIDAI:Unique Identification Authority of India)が提供する個人識別番号制度「Aadhaar」(アーダール)に関連付く11億人分の個人情報が流出した。
インドの新聞「The Tribune」は2018年1月、同紙の記者がソーシャルネットワーキングサービス(SNS)「WhatsApp」経由である人物と接触し、500インドルピー(2018年当時約8ドル)を支払い、アーダールのデータベースに不正にアクセスできるコードを入手したと報じた。記事によると、コードを使って、名前、生年月日、メールアドレス、電話番号、郵便番号などの個人情報にアクセスできたという。さらに300インドルピー(約5ドル)を追加で支払ったところ、任意のIDカードを印刷できるソフトウェアを入手できた。
コードやソフトウェアの販売者は、アーダールの元職員を通じてデータベースにアクセスしたグループの一員だった。このデータベースには指紋や虹彩といった生体情報も含まれていた。データベースは州営の公益事業会社によって管理されており、不正にアクセス可能なAPIを使用して登録者の本人確認を実施していたという報道がある。
2022年7月、「ChinaDan」と名乗るインターネットユーザーが、上海国家警察(Shanghai National Police)のデータベースから10億人分の個人情報を入手し、ハッカーフォーラム「Breach Forums」で販売すると投稿した。通信社Bloombergをはじめとする複数のメディアによると、このデータは23TBに及び、Alibabaのクラウドサービス「Alibaba Cloud」上に構築されていたとされる。流出した情報には以下が含まれていた。
米紙「The New York Times」(NYT)や「CNN」は、ChinaDanが公開したサンプルデータの正当性を複数の個人に確認し、情報が本物であると報じた。
インターネット上の漏えい情報などを掲載するWebサイト「LeakIX」によると、データベースはオープンソースSIEM(セキュリティ情報イベント管理)ツール「Elastic Stack」(旧ELK Stack)で「Kibana 5.5.3」を使用していたが、Kibana 5.5.3は古いバージョンであり、データベースのゲートウェイはパスワードで保護されていなかった。
ChinaDanがデータの販売について投稿した直後に、データベースへのアクセスは遮断された。だが、ある専門家は、データベースが2021年4月から誰でもアクセスできる状態だった可能性があると指摘している。LeakIXは、AlibabaがKibana 5.5.3を実行していた全てのサーバを2022年7月に非公開化またはシャットダウンしたと報告している。
後編も引き続き、大規模な情報漏えい案件5つを紹介する。
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...