Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

チリ成人の1400万人の個人ID漏洩

チリの国民IDデータ1400万件が米国のホスティング会社から漏洩した(正確にはホワイトハッカーによって見つけられてしまった)様です。

www.wizcase.com

 

WizCaseは、17歳以上の1400万人を超えるチリの住民の識別可能な情報を含むデータベースリークを発見しました。3 GBのデータベースは、米国テキサス州ダラスのSoftlayer Technologiesによってホストされていましたが、リークについては責任を負いません。

データベースに含まれるもの:

性別
住所
年齢
RUT番号 - これは社会保障番号に似た国民ID番号です。銀行口座、クレジットカード、オンラインでの購入などに使用できます。
ID番号 - 調査の結果、9桁のIDではないため、パスポートID番号ではないと判断しました。これは内部識別番号である可能性があると考えています

World Population Reviewの国勢調査データによると、チリには推定1,450万人の成人がいるため、このデータベースにはその国の成人人口全体が含まれていると想定するのが安全です。

早速検索したところ、チベットのSebastiánPiñera大統領のRUT番号と住所、そしてMichelle Bachelet元大統領が見つかりました。

(中略)

サーバー上の無担保Elasticsearchエンジンによる発生しました。Elasticsearchのデフォルト設定は、内部ネットワークにインストールされることを意図しているため、認証メカニズムを必要としません。そのようなサーバーがインターネットに開放されていれば、IPアドレスとポート番号を持つ人なら誰でもそれにアクセスすることができます

(WizCase記事より引用)※機械翻訳

 

◆キタきつねの所感

日本で言うとマイナンバーが漏洩した様な影響になるのかと思います。元大統領や大統領の個人情報まで漏洩したと考えると、地球の裏側では大問題になっていると思われます。

チリの成人データがほぼ全て漏洩した可能性がある、これだけでも大きな問題ですが、その漏洩原因が、米国(ホスティング)企業、あるいはそれを委託したチリ側の公開設定ミスであるとすると、何人かデータ管理者の首が飛ぶだろうな・・・と思います。

 

この漏洩の仕方は、AWSの意図しない情報公開と非常に似通っている気がします。何故、ホストしていた米国のSoftlayer Technologies社(あるいはチリの委託元)が公開設定にしていたのか分かりませんが、最近はCloud設定ミスを探す事に長けたホワイトハッカーを抱える企業が複数ありますので、運営(委託)側が、単なる設定ミスではなく、漏洩した可能性がある・・・と発表しなければならない事が多い様です。

foxsecurity.hatenablog.com

 

氏名や住所だけでなく、チリの国民ID(日本で言うマイナンバー)が含まれている様ですので、このデータ漏洩が(ホワイトハッカー以外に)外部へ漏れていたとすれば、フィッシングメールや個人情報の更なる窃取、あるいはリスト型攻撃の材料として、かなり長期間悪用されてしまう可能性がありそうです。

 

日本でも普及率(ネット利用率)が低いマイナンバーカードではありますが、リスクは同じなので、委託先管理あるいはクラウド公開をミスして、機微な情報が漏洩してしまう未来も・・・もしかするとすぐ近くまで来ているかも知れません。

 

マイナンバーのサイト、100億円かけ利用率0・02%:朝日新聞デジタル

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

f:id:foxcafelate:20190803103516p:plain

更新履歴

  • 2019年8月3日AM(予約投稿)