機密情報を含むデータベースがインターネットに公開

2023.06.06 岡山大

SNSメッセージングサービスを展開するTrueDialog社の大規模な情報漏洩がvpnMentorのリサーチチームによって報告されています。

Report: Millions of Americans at Risk After Huge Data and SMS Leak

報告によると、サービスのデータを格納していたデータベースが公開されていました。データには、SNSメッセージの内容、ユーザー名、パスワードなど個人を特定できる情報が含まれていました。

Truedialogは、大規模SMSメッセージング、SMSマーケティング、アラート送信、教育機関向けなど多様なSMS関連サービスを展開し、全世界に50億以上のサブスクライバーを抱えています。発見されたデータベースはMicrosoft Azureにホストされ、Oracle Marketing Cloud上で動いていました。データベースには604GBのデータ、機密情報が約10億件分も格納されていました。

この情報漏洩は、vpnMentorが大規模なウェブのマッピングプロジェクトを進めている最中に発見されました。リサーチチームは、特定のIPブロックの調査の一環として、ポートスキャンを実施し、穴が開いていれば情報漏洩の可能性も調査していました。報告によれば、問題のデータベースはまったくセキュリティ対策がされていなかったためアクセスは容易であり、データベースは(URLでの使用が一般的でない)Elasticsearchで、ブラウザからアクセス、検索が可能だったとのことです。

データベースなど機密情報を含むシステムが誤ってインターネットに公開される事象の報告が増えています。同様の事象は企業・組織規模の大小にかかわらず発生する可能性があります。防ぐためには、サーバーセキュリテイの見直し、アクセスに際してのルールを策定、認証を要求しないシステムをインターネットに公開しないなど、基本的な対策と定期的な見直しが必要になります。

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む