サイバーセキュリティ研究者が、26カ国の個人に関する情報を含む、大量の無防備なデータの「宝の山」を発見したことが確認された。最も多いのは米国で、このデータはAIを用いた本人確認サービスに関連している可能性がある。総量は約1テラバイト、レコード数は10億件に達し、露出した情報には国家発行の身分証番号(国民ID)、氏名、住所、電話番号、メールアドレスが含まれていた。
保護されていないAIサービスのKYC(顧客確認/本人確認)データが10億件漏洩
データ漏洩に関する報道があまりに多く、直近では、1億4900万件のレコードが露出したデータベース事案の一部としてGmailのパスワードとユーザー名4800万件が報じられたこともあって、こうした出来事に慣れてしまい、肩をすくめて済ませる危険がある。だが、露出したデータベースに10億件のレコードが含まれ、そのうち2億300万件が米国に影響するとなれば、疑問を投げかけ、注意を向ける必要がある。
Cybernewsの調査チームは、単一の露出したMongoDBインスタンス内にある複数データベースの集合体を米国時間2025年11月11日に発見したと公表した。同チームによれば、これに関係する企業はAI搭載のデジタル本人確認プロバイダーのIDMeritで、米国時間2025年11月12日に同社へ連絡したという。同社は同日中に漏えいを塞いだ。
筆者はIDMeritに声明を求めている。
このデータセットに関連する悪意ある活動は、少なくとも現時点で把握されていないとされる。ただし研究者は、「脅威アクターが設置した自動クローラーが、露出したインスタンスを探してウェブを徘徊し、見つけ次第ただちにダウンロードしている」と警告しており、データが見過ごされた可能性は低い。セキュリティ研究者が発見できたのだから、他者も同様に見つけられた可能性がある。サイバーセキュリティやプライバシー関連の事案のすべてが脆弱性やゼロデイ攻撃に起因するわけではないが、多くは侵害された、あるいは露出したデータの利用から始まる。
漏えいした詳細には、個人を特定できる情報が含まれる
セキュリティレポートによれば、保護されていなかったデータベースには、いわゆるKYC(Know Your Customer:顧客確認/本人確認)データが含まれていたとみられる。KYCデータとは、主に金融機関が詐欺やテロ資金供与を防止するための多段階の顧客確認サービスに用いるものだ。そのようなデータが漏洩したという点には皮肉がある。今回の場合、露出した個人情報から最大の利益を得るのは、サイバー詐欺師たちだからである。
米国に加え、ドイツ、フランス、中国、ブラジルなど25カ国の個人が、この露出に含まれていたことが分かっている。報告書は「漏えいした詳細には、個人を特定できる情報(PII。Personally Identifiable Information)が含まれ、宝の山となっています」と述べ、具体的に次を挙げた。
・氏名(フルネーム)
・住所
・郵便番号
・生年月日
・国民ID(国家発行の身分証番号)
・電話番号
・性別
・メールアドレス
・通信事業者(Telco)メタデータ
研究者は「この規模では、二次的なリスクとして、アカウント乗っ取り、標的型フィッシング、信用詐欺、SIMスワップ、長期にわたるプライバシー被害が含まれます」と警告した。
身を守る対策は、パスワードマネージャーやパスキーの利用
今回の流出データが含まれているとは限らないが、読者には「Have I Been Pwned」(自分のメールアドレスが過去の漏洩に含まれているか確認できる無料サービス)で自身のメールアドレスを確認し、他の侵害や漏洩に巻き込まれていないかチェックすることを勧めたい。ただし何よりも、パニックになる必要はない。パスワードマネージャーを利用し、可能な場面ではパスキー(パスワード不要の新しい認証方式)を活用し、フィッシング詐欺の手口に日頃から警戒していれば、万が一攻撃が発生しても身を守ることができるはずだ。
