米国のアダルトサイトで、ユーザーの氏名や性的指向、支払い記録などを含む100億8800万件のデータが計7テラバイト分も漏洩した可能性があることが明らかになった。データベースの設定ミスという“起こり得る失敗”が原因で、企業による個人情報の保護という責務の重さを改めて浮き彫りにしている。
TEXT BY BRIAN BARRETT
機密情報が満載の企業データベースが、インターネットで広く晒されてしまった例はよく聞く。だが、その企業が成人向けの生配信サーヴィスを展開していて、データに7テラバイト分の氏名や性的指向、支払い記録、それにメールやチャットの内容(全体で100億8800万件の記録)が含まれていたというのだから、穏やかではない。
そのサイトの名は「CAM4」。「無料のライヴセックスカメラ」を謳う人気のアダルトプラットフォームだ。セキュリティ調査サイト「Safety Detectives」が安全ではないデータベースを検索エンジン「SHODAN」で調べたところ、CAM4が検索エンジンソフト「Elasticsearch」のプロダクションデータベースを誤って設定していることを発見した。大量の個人情報のほか、不正行為やスパムの検出ログといった内部の詳細情報まで、簡単に見つけて確認できる状態だったのだ。
Safety Detectivesのリサーチャーで、今回の情報漏洩を発見したチームを率いるアヌラグ・センは次のように語る。「パスワードも設定せずにプロダクションサーヴァーを公に晒すのは、ユーザーや企業にとって非常に危険なことです」
珍しくはない過失が原因
本題に入る前に、とても大事な区別をしておかなければならない。CAM4がハッキングされたり、データベースが悪意ある行為者からアクセスされたりした形跡は見つかっていない。
だからといって外部からの侵入がなかったことにはならないが、既婚者向け出会い系サイト「アシュレイ・マディソン」のようなデータ流出の大失態とは違う。銀行の金庫室の扉を開け放つこと(=悪い)と、実際に強盗に金を盗まれること(=もっと悪い)の違いと言えるだろう。
CAM4の過ちは珍しいものではない。Elasticsearchサーヴァーでの失敗は、数多くの有名なデータ漏洩事件の原因になっている。
よくあるのは次のようなパターンだ。企業は内部利用のみを想定していたが、誰かが設定を誤り、パスワードの保護なしでオンラインに晒される。「保護されていないElasticsearchの例は、毎日のようにたくさん見かけます」と、無防備のデータベースを長年発見しているセキュリティコンサルタントのボブ・ディアチェンコは語る。「今回のケースで驚いた唯一の点は、暴露されたデータの中身でした」
どれだけの人に影響を及ぼしたのか?
そこが問題だ。CAM4のデータリストは、憂慮すべきほど広範囲に及んでいる。Safety Detectivesが発見したプロダクションログは、今年の3月16日までさかのぼる。冒頭に記した情報カテゴリーに加え、出身国や登録日、機器情報、言語選択、ユーザー名、ハッシュ化されたパスワード、それにユーザーと会社間のメールのやりとりも含まれている。
研究チームが発見した100億8800万件の記録のうち、メールアドレスが含まれたものが1,100万件、CAM4ユーザーおよびウェブサイトシステムのパスワードハッシュが含まれたものが2,639万2,701件あった。氏名やクレジットカードの種類、決済額が含まれたものは数百件あった。『WIRED』US版はCAM4のオンラインポータルにメッセージを送ったが、回答はなかった。
どれだけの人に影響を及ぼすことになったのか、正確な数字を言うことは難しい。だがSafety Detectivesの分析によると、米国でCAM4を使っていた約660万人が漏洩データに含まれており、ブラジルの540万人、イタリアの490万人、フランスの420万人と続く。パフォーマーと顧客にどの程度の影響が出ているかは不明だ。
繰り返しになるが、悪意のある者が何テラバイトにものぼるこれらのデータを利用した形跡はない。そしてCAM4の親会社であるGranity Entertainmentは、研究チームの連絡から30分以内に問題のサーヴァーを切断したのだと、Safety Detectivesのセンは言う。それで社内のミスが帳消しになるわけではないが、少なくとも対応は素早かったわけだ。
さらに言えば、このサイトや関連するデータは確かに機密性が高いが、特定の情報を実際の氏名に結びつけることはかなり困難だ。「実際の人物に結びつくトークンや、個人を特定するものを見つけるためには、ログを丹念に調べなくてはなりません」と、セキュリティコンサルタントのディアチェンコは言う。「もちろん、これらの情報はネット上に暴露されるべきものではありませんが、これまで見たなかで最も恐ろしい事例とは言えません」
必要最低限の措置では不十分
だからとって、まったく問題ないというわけではない。仮にそのような丹念な調査が実施されていたとすると、ある人物について、性的指向も含め脅迫に十分な情報が入手されている可能性もある。
もっとありふれた話で言えば、パスワードを使い回しているCAM4ユーザーは、そのパスワードを流用した攻撃の一種「クレデンシャルスタッフィング攻撃」をすぐにでも受けるリスクがある。強力な固有の証明書を使用していないアカウントが無防備になるのだ。
もしくは、逆の事態を想定してみよう。CAM4ユーザーのメールアドレスを知っていれば、以前のデータ侵害から関連するパスワードを見つけて、ユーザーのアカウントに侵入できる可能性はかなり高いと、Safety Detectivesのセンは指摘する。
今回の漏洩事件のデータは、CAM4自身もリスクに晒す可能性がある。不正行為やスパムの検出に関する特権的な情報は、潜在的な攻撃者にとって、それらの防御を回避するロードマップになりうるだろう。
データ漏洩はいつでも起こりうる。データ侵害よりはましだが、今回のように機密性が高い場合、情報を保護するためにあらゆる措置を講じておく責任が企業にある。必要最低限の措置では不十分なのだ。
※『WIRED』によるセキュリティ関連の記事はこちら。
SHARE
"情報" - Google ニュース
May 07, 2020 at 08:30AM
https://ift.tt/3b5UIeU
アダルトサイトから個人情報を含む100億件以上が漏洩の可能性、“過失”が浮き彫りにした企業の重責|WIRED.jp - WIRED.jp
"情報" - Google ニュース
https://ift.tt/37rUfCT
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment