中国10億人の個人情報流出、1年以上前から放置 警察の犯罪記録も
(CNN) 中国の市民最大10億人の個人情報を記録したデータベースが、セキュリティー対策の不備によって1年以上もの間、誰にでもアクセスできる状態で放置されていたことが分かった。闇フォーラムで先週、匿名のユーザーがこの情報を売りに出したことから事態が発覚した。
サイバーセキュリティーの専門家は、史上最大級の情報流出事件になるかもしれないと指摘しており、膨大な量の個人情報をインターネットネット経由で収集・保存することのリスクが浮き彫りになった。
オンライン上で露呈されているデータベースの記録サイト「LeakIX」によると、今回流出した大量の個人情報は、ウェブアドレスさえ知っていれば誰でも無制限に利用できるショートカット経由で、少なくとも2021年4月から公開された状態になっていたと思われる。
問題のデータベースはパスワードを入力しなくてもアクセスすることが可能だった。しかし匿名のユーザーが6月30日、闇フォーラムに広告を出し、23テラバイト(TB)超のデータを10ビットコイン(約2700万円相当)で販売すると持ちかけたことを受けて閉鎖された。
このユーザーは問題のデータベースについて、上海警察が収集した中国の市民10億人の氏名、住所、携帯電話番号、国家身分証番号、年齢、生誕地といった個人情報のほか、市民同士のもめごとや犯罪に関する警察への通報電話の記録数十億件が含まれると主張している。
売り主の投稿には、このデータベースに記録された75万件の情報がサンプルとして添えられていた。CNNはこのうち20件あまりについて本物だったことを確認したが、データベースそのものにはアクセスできなかった。
CNNは上海政府や警察にコメントを求めたが、返答はなかった。
セキュリティー対策に不備があったデータベースは、中国の電子商取引大手アリババ子会社の「アリババ・クラウド」でホスティングされていたと売り主は主張している。アリババはCNNに寄せた声明で、この問題については認識しており、調査に当たっていると説明した。
ただし専門家は、責任があるのはホスティング会社ではなく、問題のデータベースの持ち主だと話している。
中国の人口は14億人。つまり、国民の70%以上が今回の情報流出の影響を受ける可能性がある。
データベースがアクセス可能な状態のまま放置されていた1年2カ月あまりの間に、何人がアクセスしたり、情報をダウンロードしたりしたのかは不明。CNNが取材した西側の情報セキュリティー専門家2人はいずれも、先週脚光を浴びる前からこのデータベースの存在は知っていたと話しており、どこを探すべきかさえ知っていれば、簡単に発見できる状態だったことをうかがわせる。
闇サイトに詳しい専門家のビニー・トロイア氏は、このデータベースを「1月ごろ」、オンライン上で公開されているデータベースを調べていた時に発見したと語った。
「私が発見したサイトは公開されていて、誰にでもアクセス可能だった。必要なのはアカウントの登録だけだった」「21年4月に開かれていたことから、何人もの人がデータをダウンロードした可能性がある」(トロイア氏)
同氏がダウンロードしたデータベースの主要インデックスには、中国の市民9億7000万人あまりの情報が含まれている様子だった。
データベースが公開されていたことについてトロイア氏は、「彼らが忘れていたのか、それとも開いたままにしておいた方がアクセスしやすいからと意図的に放置していたのかは分からない」と述べ、「理由は不明だが、あまりにも不注意だ」と強調した。
セキュリティー対策に不備のある個人情報が、流出や不正アクセスを通じて暴露される問題は、世界中の企業や政府機関で一般的になりつつある。一般にアクセスできる状態で放置されているデータベースが見つかることは珍しくないと専門家は言う。
しかし専門家によると、今回の情報流出は、前代未聞の量の多さだけでなく、流出した情報のデリケートな性質からも、特に懸念が大きい。
データベースのサンプルをCNNが解析した結果、01年~19年までほぼ20年間に及ぶ警察の記録が見つかった。大部分は市民同士のいさかいだったが、詐欺や強姦(ごうかん)といった犯罪の記録もあった。
そのうちの1件では、上海の住民が18年、中国政府のファイアウォールをかいくぐってツイッターにアクセスする目的で仮想プライベートネットワーク(VPN)を使ったとして、警察に呼び出されていた。この住民は、「(中国共産)党や政治、指導部にかかわる反動的発言」をリツイートしていたとされる。
別の記録では、10年に女性が警察への電話で、3歳の娘が義理の父に強姦されたと訴えていた。
情報の流出が脅迫事件に発展することもよくあるという。
ウクライナのセキュリティー研究者、ボブ・ディアチェンコ氏は今年4月に問題のデータベースを発見。6月半ばごろ、このデータベースが何者かに攻撃されているのを同氏の会社が検知した。攻撃者はデータを破壊して複製し、復旧と引き換えに10ビットコインを要求する脅迫状を残していたという。
この脅迫が、データベースの情報を闇サイトで売りに出したのと同じ人物の仕業だったのかどうかは分かっていない。
ディアチェンコ氏によると、7月1日までに脅迫状は消滅した。しかし売り出されたデータの量は当初宣伝されていた23テラバイトではなく、わずか7ギガバイトになっていた。
これは身代金の問題が解決されたことをうかがわせるとディアチェンコ氏は解説する。しかしデータベースの持ち主は、先の週末にかけて閉鎖されるまで、露呈されたままのデータベースを保存用に使い続けていたという。