9200万人のブラジル国民の個人情報を収めたデータベースが、ダークウェブで販売されていることが確認された。ブラジルの人口は約2億人とされており、事実であれば半数近い国民のデータが流出したことになる。
セキュリティ専門メディアのBleepingComputerによると、問題のデータベースの容量は約16ギガバイトで、複数のダークウェブのマーケットプレイスで販売中という。SQLフォーマットのデータが最低価格1万5000ドルで、オークションで売りに出されている。
販売元のX4Crowと名乗るグループは、データベースに9200万人の氏名や性別、誕生日、納税者番号が含まれていると述べている。BleepingComputerの担当者はサンプルを入手し、これが事実であると確認し、流出元が政府のデータベースであると述べた。
ブラジルの労働者人口は約9300万人とされており、流出したデータが国内の全労働者の個人情報である可能性もある。X4Crowはデータを販売すると同時に、ブラジル国民を対象とした検索サービスの提供もアナウンスしており、運転免許証番号や電話番号、職業や学歴を含む全個人情報が検索可能だとしている。X4Crowはさらに、企業データを1件150ドルで販売中だ。
セキュリティ関連企業DomainToolsのシニアアドバイザーのコリン・イマイは「9200万人分のブラジル国民の個人情報漏えいが事実だったとしたら、現状のセキュリティ対策が驚くほどずさんであることの証明となる」と述べた。
「世界中の企業や公共機関はデータの保護を一層、注意深く行う必要がある。セキュリティ対策は彼らの顧客を守る上でも、彼らの組織自体を防御する上でも、必須のことだ」と述べた。
セキュリティ・コンプライアンスの実現を支援する企業TripwireのシニアディレクターのPaul Edonは、今回のブラジルでの事例は、ダークウェブを通じたマネタイズがサイバー犯罪者らに非常に魅力的な手段となったことを示していると述べた。
「企業や各国の政府は彼らが貯蔵するデータが、犯罪者の格好のターゲットとなっていることを認識し、万全なセキュリティ体制を確立する必要がある。有効な施策の一つがデータの暗号化だ。暗号化により、データの漏えいが防げるだけでなく、それらが外部に転送される被害も防げる」とEdonは述べた。
