機密情報を含むデータベースがインターネットに公開

2020.01.09 三和コムテック

SNSメッセージングサービスを展開するTrueDialog社の大規模な情報漏洩がvpnMentorのリサーチチームによって報告されています。

Report: Millions of Americans at Risk After Huge Data and SMS Leak

報告によると、サービスのデータを格納していたデータベースが公開されていました。データには、SNSメッセージの内容、ユーザー名、パスワードなど個人を特定できる情報が含まれていました。

Truedialogは、大規模SMSメッセージング、SMSマーケティング、アラート送信、教育機関向けなど多様なSMS関連サービスを展開し、全世界に50億以上のサブスクライバーを抱えています。発見されたデータベースはMicrosoft Azureにホストされ、Oracle Marketing Cloud上で動いていました。データベースには604GBのデータ、機密情報が約10億件分も格納されていました。

この情報漏洩は、vpnMentorが大規模なウェブのマッピングプロジェクトを進めている最中に発見されました。リサーチチームは、特定のIPブロックの調査の一環として、ポートスキャンを実施し、穴が開いていれば情報漏洩の可能性も調査していました。報告によれば、問題のデータベースはまったくセキュリティ対策がされていなかったためアクセスは容易であり、データベースは(URLでの使用が一般的でない)Elasticsearchで、ブラウザからアクセス、検索が可能だったとのことです。

データベースなど機密情報を含むシステムが誤ってインターネットに公開される事象の報告が増えています。同様の事象は企業・組織規模の大小にかかわらず発生する可能性があります。防ぐためには、サーバーセキュリテイの見直し、アクセスに際してのルールを策定、認証を要求しないシステムをインターネットに公開しないなど、基本的な対策と定期的な見直しが必要になります。