PR
全1793文字

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。

 2019年11月下旬に発生したトラブルを3件取り上げる。最初は12億件もの個人情報が公開されていたトラブルである。

検索エンジンの設定ミスが原因か(11月22日)

 大量の個人情報が公開されるトラブルが世界中で相次いでいる。その多くは全文検索エンジン「Elasticsearch」の設定ミスに起因するとみられる。Elasticsearchはオープンソースの検索エンジン。多くのサーバーで利用されている。

 そんな中、2人のセキュリティー研究者が、Elasticsearchを運用するあるサーバーで約12億件の個人情報が公開されていたと発表した。サイバー脅威インテリジェンスを提供する米データバイパー(Data Viper)のブログで明らかにした。

セキュリティー研究者2人によるブログ
セキュリティー研究者2人によるブログ
(出所:米Data Viper)

 12億件は重複を排除した件数で、個人情報には名前やメールアドレス、電話番号が含まれていた。

 このトラブルでは、個人情報を公開していたサーバーの運営者や、個人情報データの出所が明らかになっていない。そのため、流出の経緯や釈明などは一切発表されていない。

 サーバーを発見した2人の研究者は各データに「PDL」や「OXY」といった識別子が付いていたことから、個人情報を取り扱う米ピープルデータラボ(People Data Labs)や米Oxyデータ(Oxydata)の2社との関連性を調査した。ところが、両社とも格納先のサーバーが異なるなどの理由から、今回の流出との関連性を否定しているという。このため、両社からデータを購入した第三者のサーバーではないかと推測している。

 2人が米連邦捜査局(FBI)に情報を提供した後、問題のサーバーは数時間後に停止された。また流出した個人情報の一部は、セキュリティー専門家トロイ・ハント氏が個人で運営する個人情報漏洩データ検索サービス「Have I Been Pwned(HIBP)」に登録された。このサービスでは、自分の情報が漏洩したかどうかを確認できる。

https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/

この記事は会員登録で続きをご覧いただけます

日経クロステック登録会員になると…

新着が分かるメールマガジンが届く
キーワード登録、連載フォローが便利

さらに、有料会員に申し込むとすべての記事が読み放題に!
有料会員と登録会員の違い