情報はどこから漏れる? 大企業の「しくじり」から見えてきた重点対策箇所とはあの大規模インシデントをおさらい【前編】

ユーザーの個人情報を抱えるWebサイトを運営する企業にとって、情報の漏えいは避けるべき事態だ。過去に発生した大規模な情報漏えい事件では何が事故の引き金となったのか。5件紹介する。

2025年04月11日 06時00分 公開
[Sharon SheaTechTarget]

 エンドユーザーのアカウント情報を狙ったサイバー攻撃は巧妙化する一方だ。大規模な情報漏えいの事例にはどのようなものがあるのか。全10件を前後編にわたって紹介する。

1.Yahoo(流出したデータ件数:30億件)

会員登録(無料)が必要です

 2016年12月、検索大手Yahooは2013年8月のサイバー攻撃で10億件の個人情報が流出したと発表した。しかし、2017年10月に通信大手Verizon CommunicationsがYahooを買収した後の調査によると、実際の被害は30億件に及ぶことが判明した。影響を受けたユーザーアカウントは以下のサービスに関連付けられるものだ。

  • 「Yahoo! Mail」
  • 短文投稿サイト「Tumblr」
  • 画像共有サービス「Flickr」
  • オンラインスポーツゲームプラットフォーム「Yahoo Fantasy Sports」
  • 「Yahoo! Finance」

 流出した個人情報の詳細は、ユーザーの氏名、生年月日、電話番号、パスワード、セキュリティ質問(本人確認のための質問)とその回答、パスワードリセット用のメールアドレスだ。クレジットカード情報や銀行口座情報は漏えいしなかった。インシデント発生時、Yahooは2013年以降変更されていない全てのパスワードを強制的にリセットし、暗号化されていないセキュリティ質問を無効化した。

2.National Public Data(流出したデータ件数:29億件)

 2023年12月、データ売買事業者のNational Public Data(NPD)がサイバー攻撃を受け、同年8月にデータの漏えいが発生したと発表した。同社は企業や調査機関、採用企業向けにバックグラウンドチェック(採用候補者の経歴や身上の調査)のサービスを提供していた。

 盗まれたのは、米国、英国、カナダのユーザーに関する29億件のデータだ。内訳としては氏名、メールアドレス、電話番号、社会保障番号、住所、生年月日となる。

 さらに、セキュリティ分野の専門家であるブライアン・クレブス氏によると、NPDの関連会社が運営する「RecordsCheck.net」で、同Webサイトの管理者パスワードが公開されていた。

 NPDは2024年10月に破産を申し立て、同年12月に事業を終了。RecordsCheck.netも閉鎖された。

3.Real Estate Wealth Network(流出したデータ件数:15億件)

 2023年12月、サイバーセキュリティの専門家であるジェレミア・ファウラー氏が、Real Estate Wealth Networkのデータベースがインターネット上で誰でもアクセス可能な状態になっていることを発見した。同社は、不動産関連の教育やサービスを提供している。

 データベースには、著名人や政治家をはじめとする顧客や企業の情報が登録されており、データ量は1.16テラバイト(TB)にも及ぶ。登録情報の詳細は以下の通り。

  • 住所
  • 不動産の購入価格
  • 購入日
  • 住宅ローン会社
  • ローンの金額
  • 納税者番号
  • 税金の支払い状況

 ファウラー氏はReal Estate Wealth Networkに連絡し、データベースは速やかに保護された。ただし、データベースがどの程度の期間公開されていたかは不明だ。

4.インドの個人識別番号制度Aadhaar(流出したデータ件数:11億件)

 インド固有識別番号庁(UIDAI:Unique Identification Authority of India)が提供する個人識別番号制度「Aadhaar」(アーダール)に関連付く11億人分の個人情報が流出した。

 インドの新聞「The Tribune」は2018年1月、同紙の記者がソーシャルネットワーキングサービス(SNS)「WhatsApp」経由である人物と接触し、500インドルピー(2018年当時約8ドル)を支払い、アーダールのデータベースに不正にアクセスできるコードを入手したと報じた。記事によると、コードを使って、名前、生年月日、メールアドレス、電話番号、郵便番号などの個人情報にアクセスできたという。さらに300インドルピー(約5ドル)を追加で支払ったところ、任意のIDカードを印刷できるソフトウェアを入手できた。

 コードやソフトウェアの販売者は、アーダールの元職員を通じてデータベースにアクセスしたグループの一員だった。このデータベースには指紋や虹彩といった生体情報も含まれていた。データベースは州営の公益事業会社によって管理されており、不正にアクセス可能なAPIを使用して登録者の本人確認を実施していたという報道がある。

5.上海国家警察(流出したデータ件数:10億件)

 2022年7月、「ChinaDan」と名乗るインターネットユーザーが、上海国家警察(Shanghai National Police)のデータベースから10億人分の個人情報を入手し、ハッカーフォーラム「Breach Forums」で販売すると投稿した。通信社Bloombergをはじめとする複数のメディアによると、このデータは23TBに及び、Alibabaのクラウドサービス「Alibaba Cloud」上に構築されていたとされる。流出した情報には以下が含まれていた。

  • 氏名
  • 住所
  • 出生地
  • 電話番号
  • 写真
  • ID番号
  • 犯罪記録

 米紙「The New York Times」(NYT)や「CNN」は、ChinaDanが公開したサンプルデータの正当性を複数の個人に確認し、情報が本物であると報じた。

 インターネット上の漏えい情報などを掲載するWebサイト「LeakIX」によると、データベースはオープンソースSIEM(セキュリティ情報イベント管理)ツール「Elastic Stack」(旧ELK Stack)で「Kibana 5.5.3」を使用していたが、Kibana 5.5.3は古いバージョンであり、データベースのゲートウェイはパスワードで保護されていなかった。

 ChinaDanがデータの販売について投稿した直後に、データベースへのアクセスは遮断された。だが、ある専門家は、データベースが2021年4月から誰でもアクセスできる状態だった可能性があると指摘している。LeakIXは、AlibabaがKibana 5.5.3を実行していた全てのサーバを2022年7月に非公開化またはシャットダウンしたと報告している。


 後編も引き続き、大規模な情報漏えい案件5つを紹介する。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

新着ホワイトペーパー

市場調査・トレンド ラピッドセブン・ジャパン株式会社

「検知と対応に関する調査」から見えてきた、各組織のサイバー脅威への取り組み

脅威の検知と迅速な対応は、セキュリティ戦略の中核をなす重要な機能だ。これを実現するために、多くの組織が自動化ツールやAIなどの技術を採用しているが、成果を挙げている組織もあれば、そうでない組織もあり、明暗が分かれている。

市場調査・トレンド ラピッドセブン・ジャパン株式会社

セキュリティ製品の乱立を解消し、ベンダーを統合すべき理由とは?

近年、多くの組織が多数のセキュリティ製品をパッチワーク的に導入している。その結果、運用が複雑化し、非効率な状況が生まれてしまった。このような状況を改善するためには、セキュリティベンダーを統合することが必要だ。

製品資料 フォーティネットジャパン合同会社

費用対効果の高いセキュリティ製品をどう見極める? 5つの組織の例に学ぶ

データセンターにおいて、NGFWやマルウェア対策といったセキュリティ製品の導入は不可欠だが、選定を誤ると非効率な運用プロセスや高いコストに悩まされることとなる。5つの組織の例から、費用対効果の高い製品を見極めるコツを探る。

製品レビュー サイオステクノロジー株式会社

マンガで分かる:クラウドシステムの障害対策でユーザーが考慮すべきポイント

ダウンタイムが許されない基幹系システムやデータベースをクラウドに展開している場合、システムの障害対策をベンダー任せにすることは危険だ。本資料では、その理由を解説するとともに、クラウドの障害対策を実施する方法を紹介する。

製品資料 Absolute Software株式会社

サイバーレジリエンスがなぜ今重要? 調査で知るエンドポイントの3大リスク

エンドポイントがサイバー攻撃の対象となるケースも増えている今、企業にはどのような対策が必要なのか。2024年に実施された調査の結果を基に、3つの重大なリスク要因と、その解決策としてサイバーレジリエンスが重要な理由を解説する。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。