著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。
2019年11月下旬に発生したトラブルを3件取り上げる。最初は12億件もの個人情報が公開されていたトラブルである。
検索エンジンの設定ミスが原因か(11月22日)
大量の個人情報が公開されるトラブルが世界中で相次いでいる。その多くは全文検索エンジン「Elasticsearch」の設定ミスに起因するとみられる。Elasticsearchはオープンソースの検索エンジン。多くのサーバーで利用されている。
そんな中、2人のセキュリティー研究者が、Elasticsearchを運用するあるサーバーで約12億件の個人情報が公開されていたと発表した。サイバー脅威インテリジェンスを提供する米データバイパー(Data Viper)のブログで明らかにした。
12億件は重複を排除した件数で、個人情報には名前やメールアドレス、電話番号が含まれていた。
このトラブルでは、個人情報を公開していたサーバーの運営者や、個人情報データの出所が明らかになっていない。そのため、流出の経緯や釈明などは一切発表されていない。
サーバーを発見した2人の研究者は各データに「PDL」や「OXY」といった識別子が付いていたことから、個人情報を取り扱う米ピープルデータラボ(People Data Labs)や米Oxyデータ(Oxydata)の2社との関連性を調査した。ところが、両社とも格納先のサーバーが異なるなどの理由から、今回の流出との関連性を否定しているという。このため、両社からデータを購入した第三者のサーバーではないかと推測している。
2人が米連邦捜査局(FBI)に情報を提供した後、問題のサーバーは数時間後に停止された。また流出した個人情報の一部は、セキュリティー専門家トロイ・ハント氏が個人で運営する個人情報漏洩データ検索サービス「Have I Been Pwned(HIBP)」に登録された。このサービスでは、自分の情報が漏洩したかどうかを確認できる。
https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/
