2022 年 7 月 8 日 Ryan Estes 著

先週「ChinaDan」と名乗るハッカーが上海国家警察（SHGA）のデータベースに侵入したとされ、約 23 TBのデータを 10 ビットコイン、つまり本稿執筆時点で 20 万ドル強で売りに出していることが明らかになりました。犯人の主張によると、データには、名前、住所、出生地、ID 番号、携帯電話番号、および警察報告書と刑事事件からの無数のデータを含む「10 億人の中国居住者の情報と、数十億件の事件の記録」が含まれていました。

データが本物であることを示すため、犯人は 75 万件に及ぶサンプルを公開しています（25 万件ずつの氏名、生年月日、住所と電話番号）。ウォッチガードセキュリティチームの調査によれば、このサンプルデータは本物であると見られますが、データベース全体の真偽はまだ確認されておらず、またハッカーコミュニティで有名な BreachForums へのオリジナルの投稿は削除されています。下の画像は、元の投稿のスクリーンショットです。

ChinaDan によるデータが本物と判明した場合、今回の情報流出は、影響を受けた人数という点で過去最大級になる可能性があります。ヤフーの情報流出事件は、30 億人のユーザが影響を受けた過去最大のデータ流出とされ、次いで 2019 年に Collection #1-5 のデータベースで 22 億人のユーザ名が強制的にダンプされた事件、さらにインド国民 11 億人に影響を与えた Aadhaar の情報流出があります。今回の上海国家警察の事件は、これに連なるものとなるかもしれません。

大規模なデータの流出が発生した際に必ずといっていいほど出てくるのが、「なぜこんなことが発生したのか？」という疑問です。伝えられるところでは、今回の流出の原因は、Alibaba Cloud 上の ElasticSearch のデプロイメントにおける開発者のミスとされています。フォーラムに投稿されたユーザのスクリーンショットでは、エンドポイント、accessId、accessKey が変数としてハードコードされており、エラーの証拠とアクセス取得方法が示されています。以下のスクリーンショットをご覧ください。

しかし、データ流出はこれだけにとどまりませんでした。数日後、CNWang という別のハッカーが、ChinaDan に触発されて河南省警察（HNGA）のデータベースを流出させ、それを BreachForums に掲載したと主張しています。CNWang は、ChinaDan の情報流出と同様のデータ（氏名、年齢、住所、ID 番号、携帯電話番号）を持っていると主張しましたが、これに警察の報告書や事件に関する情報は含まれていませんでした。CNWang は、1 ビットコイン、つまり本稿執筆時点で 2 万ドル強の価格で河南省市民 9000 万人のデータを保有していると主張しています。しかし、ウォッチガードセキュリティチームがサンプルデータを検証したところ、この中には、ChinaDan のものと重複する記録がいくつかあることが判明しました。したがって、2 つの情報流出を合わせると、影響を受けた可能性のある中国国民の数は、全体で 10 億から 10 億 9000 万人程度になる可能性があります。CNWang の投稿は以下画像で確認できますが、記事執筆時点でもまだ掲載されています。

この事件はまだ展開中で、データの検証やさらなる侵害が発生した場合、当記事（英語原文）は変更があり次第、随時更新予定です。

公的なデータ流出の影響を受けた場合は、情報を窃盗した人物が、なりすましで新しいアカウントを作れないよう、クレジットやローンにロックをかけることも検討すべきです。また、個人情報監視サービスも検討するとよいでしょう。今回の事件に限っては不要かもしれませんが、情報流出に関連したパスワード変更も検討すべきです。同じパスワードを再利用している場合は、すべてのパスワードを変更してください。