米国で出生証明書の申請データ75万件が流出

米国政府が発行する出生証明書および死亡証明書の写しを提供するオンラインサービス会社が個人情報を含む大量の申請データを外部に流出させた。出生証明書の写しの申請書75万2000件以上がAmazon Web Service(AWS)のストレージバケットで見つかった(バケットには死亡証明書の申請9万400件もあったがこちらはアクセスやダウンロードができない状態だった)。当該バケットはパスワードで保護されておらず、容易に推定できるウェブアドレスを知っている人ならだれでもデータをアクセスできる。

申請プロセスは州によって異なるが、行われる作業は同じだ。利用者は州の記録管理部門、通常は州保健局に申請して出生証明書の写しを入手する。本誌が見た申請データには、申請者の氏名、生年月日、現在の住所、メールアドレス、電話番号、個人記録履歴のほか、過去の住所、家族の名前、申請理由(パスポートの申請、家系の調査など)が書かれていた。

カリフォルニア、ニューヨーク、テキサスを含む多くの州の出生証明書の写しの申請データがネットに流出した(画像:TechCrunch)

申請の日付は2017年後半に遡り、バケットは毎日更新されていた。同社は週当たり約9000件の申請データをバケットに追加していた。英国の侵入テスト会社であるFidus Information Securityがデータ流出を発見した。TechCrunchは住所氏名を公開記録と比較してデータを検証した。

FidusとTechCrunchは記事を公開する前にデータの流出について複数回警告を送ったが、自動返信メールを受け取っただけで何の行動も起こされていない。TechCrunchは会社名の公表は行わない。Amazonに問い合わせたところ、介入するつもりはないが顧客である会社に伝えると語った。

TechCrunchは地域のデータ保護当局にも連絡してセキュリティー不備を警告したが、すぐにコメントは得られなかった。

[原文へ]

(翻訳:Nob Takahashi / facebook