数千万件分のショートメッセージが暗号化なしで保管されたデータベースがオンラインで見つかる

パスワードがかかっておらず誰でも閲覧できる状態の大規模データベースの中に、SMSで配信されたメッセージ数千万件が暗号化なしの状態で格納されているのが見つかりました。メッセージのほとんどは企業が潜在的な顧客に向けて送信したものでしたが、その中にはアカウントの認証情報などの機密情報も含まれていたそうです。

Report: Millions of Americans at Risk After Huge Data and SMS Leak

問題のデータベースは「TrueDialog」の所有するもの。同社は企業や高等教育機関向けに、SMSメッセージを活用したビジネスソリューションとして、大量のメッセージを送信するためのバルクSMSサービスを提供しています。TrueDialogのサービスの利点は、メッセージの受信者がそのままテキストメッセージに返信できるため、企業側と顧客側が簡単に双方向の会話を実現可能という点です。

オンライン上で発見されたTrueDialogのデータベースには、同社の顧客企業が長年にわたり顧客とやり取りしてきたSMSメッセージが保存されていたにもかかわらず、パスワードなどは一切設定されておらず、暗号化もされていませんでした。そのため、データベースの保管場所を知っている人、あるいは偶然発見した人ならば、誰でもすべてのメッセージ内容をチェック可能な状態となっていました。

データベースを発見したのはVPNサービスの評価を行うvpnMentorで働くセキュリティ研究者のNoam Rotem氏とRan Locar氏。海外テクノロジーメディアのTechCrunchが、データベース上に保存されていたSMSメッセージの一部を調査したところ、データベースには大学の財務アプリケーションに関する情報、割引コードを使用した企業からのマーケティングメッセージ、求人アラートなどに関する情報が含まれていたそうです。

また、データには2段階認証用のコードやその他のセキュリティ関連メッセージといった、機密情報を含むテキストメッセージも含まれていたため、データにアクセスできた人物ならは個人のオンラインアカウントに「容易にアクセスできた可能性がある」とTechCrunchは指摘しています。加えて、データベース内のメッセージには、オンライン医療サービスにアクセスして取得するコードや、Facebook・GoogleアカウントのパスワードリセットURLやログインコードなども含まれていたそうです。

そのほか、データベース上にはTrueDialogの顧客が利用するユーザー名・パスワードといったアカウント情報も含まれていた模様。

TechCrunchはデータベースの漏洩についてTrueDialogに連絡しており、データベースはすぐさまオフラインになったとのこと。しかし、TechCrunchがTrueDialogのジョン・ライトCEOに対して連絡を取っても、TrueDialogはデータ漏洩を一切認めておらず、質問に対する回答も得られていないそうです。