2019/01/23

2 億 200 万件の履歴書が流出

hack Hacker ハッカー 匿名 マスク アノニマス ガイ・フォークス ハクティビスト
2019 年 1 月 23 日 Trevor Collins 著

過去最大規模のデータ漏洩が、米国でもなく、GDRP が適用される EU でもない国で発生しました。昨年 12 月 28 日、Hackern.io の Bob Diachenko 氏が、あるデータベースに 202,730,434 件の中国人の履歴書が認証なしで保存されているのを発見しました。
このデータベースは、Amazon AWS でホスティングされている MongoDB インスタンスで実行されていました。

この不備により、履歴書の記載項目と、通常は履歴書に記載されることのない情報も明らかになりました。具体的には、携帯電話番号、電子メールアドレス、未婚/既婚、子供、政治思想、身長、体重、運転免許証、識字レベル、および収入予想額が含まれていました。

このデータベースのデータ構造は、後に Github に見つかった Web スクレイピングスクリプトと同じ構造でしたが、これは、発見後間もなく削除されました。同じユーザによる他のスクリプトを調べたところ、コードが中国語で書かれていたことから、中国国内のユーザが中国人を標的にしたものであるようです。また、このスクリプトは、bj.58.com などの中国の広告を標的にしているようです。Diachenko 氏によれば、流出したデータベースの履歴書の多くに、個人情報であることを示す印が付いていたということです。bj.58.com は、独自に内部調査を実施して、いかなる流出もなかったと発表しました。そのため、実際にどこから流出したかは今もわかっていません。

Diachenko 氏は調査で、12 の IP アドレスがすでにデータベースにアクセスしていたことを確認しました。データベースの最初の作成者、Diachenko 氏がデータベースの特定に使用した 2 つのサーバエンジン、さらには Diachenko 自身がこの中に含まれているとしても、8 つの IP アドレスについては誰のものであるのかわかりません。これらの IP アドレスによって、データベース、あるいは少なくともその一部がダウンロードされた可能性があります。このデータに今はアクセスできなくなっていますが、将来的に他の場所で見つかる可能性があります。

先週になって、さらに多くのデータが見つかり、Diachenko 氏がそれを公開したところ、元のデータがすぐにアクセスできない状態になりました。元のデータベースは応答しなくなり、サーバを更新するスクレイピングスクリプトにアクセスできなくなりました。このことは、このデータベースの作成者が状況を注意深く観察していることを示しています。

このデータベースが最近作成されたものである可能性があります。Diachenko 氏がこの漏洩を発見したのは、2 つの外部検索によってこのデータベースが同じ日に自分に報告されたためです。これらの検索から定期的に彼にレポートが送られるようになっていますが、この検索エンジンからそれまでにこのデータベースが報告されたことはありませんでした。データベース管理者がこのデータベースを最近作成したか、認証の設定を最近変更して開いたままの状態にしてしまった可能性があります。Amazon のバケット、MongoDB、その他のデータベースが開いたままになっている例が非常に多く見られます。データベース管理者は、データベースにデータが保存される前にデータベースをロックする必要があり、ロックされていないと、誰かに発見されてデータを盗まれる恐れがあります。

このデータベースの漏洩に関する詳細は、こちらの記事を参照してください。

Amazon をかたるフィッシングにご注意ください (2019/02/18)