12億人分もの個人情報がオンラインのサーバー上に誰でもアクセス可能な状態で保管されていたことが判明

2019年10月16日、セキュリティ研究者のBob Diachenko氏とVinny Troia氏が、4TBを超える大量の個人情報を含むElasticsearchサーバーを発見しました。サーバーはセキュリティ保護されておらず誰でもアクセス可能な状態で、データベースに含まれていた個人情報の件数は12億を超えていると報じられています。

1.2 billion people exposed in data leak includes personal info, LinkedIN, Facebook

Diachenko氏とTroia氏が発見したデータベースには、重複を除いても12億人もの個人情報が含まれており、2人は「単一の組織からデータが漏えいした事例としては歴史上最大のものの一つ」と指摘しています。データベースが発見されたElasticsearchサーバーは暗号化されておらず、ウェブブラウザからパスワードや認証なしでアクセス可能な状態だったとのこと。

今回の情報漏洩を特殊なものに位置づける点として、2人は「個人情報が2つの異なるデータエンリッチメント企業から収集されたように見える」点を挙げています。データエンリッチメント企業とは、非常に低価格で個人に関する名前やメールアドレスといった基本的な情報を取得し、そこにさまざまなデータを追加してユーザープロファイルを拡張・販売する事業を行う企業を指します。

アメリカのマーケティング企業であるExactisのデータ流出事例などからもわかるように、データエンリッチメント企業の持つ個人情報は単なる名前やメールアドレスだけでなく、宗教や趣味、財政状況、ペットの情報まで多岐に及びます。データエンリッチメント企業は、ウェブ上やSNS、あるいはサードパーティーのデータブローカーから公的記録を購入するなどして、ユーザープロファイルの充実を図っているそうです。