Exactisという会社をご存じだろうか。ほとんどの人は名前も聞いたことがないだろうが、Exactisはあなたのことをよく知っている。
そして、彼らがあなたについてどのような情報をもっていようが、そのデータはネットに流出している可能性が高い。つまり、どこを探せばいいのか熟知しているハッカーの手の届く場所に、無造作に置かれているのだ。
セキュリティエンジニアのヴィニー・トロイアは6月上旬、フロリダ州パーム・コーストに拠点を置くExactisというデータブローカーが、3億4,000万件相当の個人および企業の情報が含まれたデータを、誰でもアクセス可能なサーヴァーに保存しているのを見つけた。データベースのサイズは全体で2テラバイト近かった。
正確にどれだけの人の個人情報があるかは明らかになっていない。また、クレジットカード番号と社会保障番号は含まれていないとみられるが、住所や電話番号、電子メールアドレス、趣味や興味の対象、子供の数とそれぞれの年齢、性別といった、極めて機密性の高いデータが危険に晒されている。
トロイアはニューヨークでNight Lion Securityというセキュリティ会社を立ち上げ、最高経営責任者(CEO)を務める。彼はこのデータベースについて、「アメリカ国民のほとんど全員についてデータがあるのではないかと思います」と指摘する。
試しに知り合いなど特定の人を何人か検索してみたが、どの名前もヒットしたという。『WIRED』US版も10人の名前を挙げてデータを探してもらったが、あっという間に6人分が見つかった。トロイアは「データの出どころはわかりませんが、ここまで完全に情報が揃ったデータセットは、ほとんど見たことがありません」と話す。
誰でもアクセス可能な状態に
犯罪組織や悪意のあるハッカー集団が、このデータベースにアクセスしたかどうかは不明である。だがトロイアによれば、簡単に見つけられる場所に置かれていたことは確かだ。トロイア自身は「SHODAN」と呼ばれる特殊な検索エンジンを使い、「Elasticsearch」という検索データベースのセキュリティを調べているときに、問題のExactisのデータベースを発見した。
SHODANはIoTデヴァイスやルーター、FTPサーヴァーなど、ネットに接続している機器を検索するツールだ。トロイアはSHODANを使って、ElasticsearchからアメリカのIPアドレスを含むサーヴァーで、パブリックアクセスの可能なものを検索した。約7,000件がヒットし、それぞれをざっと眺めていたところ、ファイアウォールで保護されていないExactisのデータベースがあったという。
トロイアは「Elasticsearchでこうしたことをしている人はほかにもいるでしょうし、Exactisのデータベースを見つけたのも、恐らくわたしが最初ではないと思います」と言う。彼はすぐにExactisと米連邦捜査局(FBI)に連絡をとった。データベースにはいまではセキュリティがかけられており、アクセスできないようになっている。
『WIRED』US版は電話や電子メールで数回にわたってExactisにコメントを求めたが、回答は得られていない。
犯罪歴から宗教、ペット、喫煙の情報まで流出
Exactisのデータに関しては、その量だけでなく中身も想像をはるかに上回るものだった。住所などの連絡先や、婚姻状況、犯罪歴の有無といった公的データだけでなく、400以上に及ぶマーケットセグメンテーション用の変数が含まれていたのだ。例えば、喫煙の有無、信仰する宗教、ペットの種類、趣味といった情報で、プラスサイズのショッピングサイトを利用しているかといったことまで含まれていた。
『WIRED』US版が前述の10人についてトロイアからもらったデータを調べたところ、情報が古かったり間違っていたりするところも一部はあるものの、おおむね正確だった。
漏洩したデータにはクレジットカード番号や口座情報、社会保障番号は含まれていなかった。このため、不正な金融決済などに直接つながる恐れは低い。
しかし、プライヴァシー擁護を訴えるNPO「Electronic Privacy Information Center(EPIC)」代表のマーク・ロテンバーグは、これだけ広範かつ詳細なデータがあれば、何らかの詐欺被害などの懸念は十分にあると指摘する。ロテンバーグは「金融詐欺の恐れはそれほど大きくはありませんが、なりすまし犯罪などが起こる可能性はあります」と話す。
ロテンバーグはまた、Exactisのデータベースには雑誌の定期購読やクレジットカードの利用履歴、信用報告書といったものから抽出される、いわば非公的なデータが多い点を指摘した上で、こう付け加える。「アメリカでは、消費者からこの種の情報を収集することがほぼ日常的に行われるようになっています」
Exactisが沈黙を守っているため、今回のデータ漏洩でどれだけの影響が出るかを予測することは困難だ。トロイアは発見したデータベースについて、2つのヴァージョンがあることを確認している。片方はトロイアがExactisのサーヴァーを調べている途中に新たに保存されたもので、どちらにも2億3,000万人分の個人情報と1億1,000万社の企業情報、合わせて約3億4,000万件のデータが含まれる。
Exactisのウェブサイトには、自社データの規模はアメリカの1億1,100万世帯を含む2億1,800万人分に上り、合わせて35億件相当の「消費者、ビジネス、デジタルレコード」を保有しているとある。サイトには以下のように書かれている。
「Exactisの力はデータにあります。人口動態、地理的要因、ライフスタイル、行動学的変数など、さまざまなデータから、高度に細分化したターゲットをレーザーのような正確さで見つけ出すことができます」
データベースの恐ろしさ
誤ってパブリッククラウドに置かれたユーザーデータベースから個人情報が漏洩した例は、過去にも数え切れないほどある。実際に診療記録からパスワードまで、さまざまな分野に影響が出ている。
サイバーセキュリティ会社UpGuardのクリス・ヴィッカリーは、こうした公共のインターネットに置かれた機密データを発見したことが何回もある。16年にはメキシコに住む9,340万人分の有権者登録情報がパブリッククラウドに置かれていたことが明らかになったほか、犯罪やテロ行為に関与している可能性が高いとされる220万人の名前などが流出したこともあった。
今回見つかったデータベースに本当に2億3,000万人分の個人情報が含まれているとすれば、過去数年で最大に近い規模のデータ流出事件となるだろう。最近では、昨年9月に信用情報大手エキファックス(Equifax)から1億4,500万人分の顧客データが被害に遭ったほか、10月には米ヤフーの利用者情報が盗まれ、最大で30億件相当のアカウントに影響が出たことが明らかになっている。
Exactisの場合、データは誰でもアクセスできる場所に置かれていたというだけで、必ずしもハッカーなど悪意のある第三者の目に触れたというわけではない。しかし、Equifaxの事例と同様に、実際に誰のデータが含まれていたのかはまったく不明なままだ。
欧州連合(EU)の「一般データ保護規則(GDPR)」施行の直後ということもあり、EPICのロテンバーグは、個人情報やデータ収集をめぐるアメリカでのルール不足が再び浮き彫りになったと指摘する。GDPRのような法による規制を行なっても、企業による個人情報の収集を止めさせることは難しい。しかし、消費者は少なくとも事前にどのようなデータが集められているのかを知ることができるし、データの利用や保管方法にも規則を設けることは必要だ。
ロテンバーグは「もし企業があなたの情報をもっているなら、あなたにはその中身を確認し、利用を制限する権利があるはずです」と言う。「雑誌を定期購読することが、一企業が個人についてあれほど詳細かつ多岐にわたるデータを保有することにつながるべきではないのです」
個人情報流出の関連記事
- 「米エキファックス情報漏洩」の顛末
- アンダーアーマーの個人情報流出は、防げたはずの問題だった
- 10億ドルを荒稼ぎする謎のハッキング集団「Fin7」、その恐るべき技術と組織力
- 子ども向けハイテク玩具に情報流出リスク
- 大量流出した「社会保障番号」に代わる、米国の「新しい個人ID」は実現するか
TEXT BY ANDY GREENBERG
TRANSLATED BY CHIHIRO OKA