タイの通信大手AISで80億件ものネット利用記録のデータベースが流出

タイの通信ネットワーク最大手AISは、何百万人ものインターネットユーザーの何十億というリアルタイムインターネットの利用記録を流出させていたデータベースをオフラインにした。

セキュリティ研究者のJustin Paine(ジャスティン・ペイン)氏は、DNSクエリやNetflowデータを含むデータベースがパスワードなしでインターネット上にあることに気づいた、とブログに書いた。このデータベースにアクセスすると、インターネットユーザー(あるいは世帯)が今、何をしているのか誰でも「すぐに見当をつけられる」とペイン氏は話している。

ペイン氏は米国時間5月13日にAISにデータベースがオープンになっていることを警告した。しかし1週間経ってもAISからの反応がなく、ペイン氏は明らかなセキュリティ上の過失を通称ThaiCERTというタイの国家コンピューター緊急対応チームに報告した。そしてThaiCERTがAISに連絡を取った。

しばらくしてデータベースはアクセスできなくなった。

データベースを誰が所有しているのかは明らかではない。ペイン氏は、データベースで見られた記録の種類は、ネットワーク内を飛び交うインターネットトラフィックを監視できる人からのものだとTechCrunchに語った。ただ、データベースがインターネットプロバイダーに属するものなのか、あるいは子会社の1社のものなのか、はたまたAISネットワークの大企業顧客のものなのか識別するのは難しい。AISの広報担当は、電子メールによるTechCrunchからのコメントの求めに応じなかった。

DNSクエリはインターネット使用に伴う一般的な副作用だ。ウェブサイトを訪れるたびにブラウザはウェブアドレスをIPアドレスに変換する。IPアドレスはブラウザに、ウェブページがインターネット上のどこにあるのかを伝える。DNSクエリはプライベートのメッセージや電子メール、パスワードなど取り扱いに注意を要する情報を運ばないが、ユーザーがどのウェブサイトにアクセスし、どんなアプリを使うのかを特定できる。

これはジャーナリストや活動家のような、インターネット利用の記録が情報ソースの特定に使われ得るという、大きなリスクを背負っている個人にとっては深刻な問題となる。

タイのインターネット監視法では、当局のインターネットユーザーデータへの広範なアクセスを認めている。タイにはまた、アジアで最も厳しい検閲法があり、タイ王室や国家セキュリティ、特定の政治問題に対する批判を禁じている。2015年のクーデターで登場したタイの軍事政権は、ソーシャルネットワーク大企業のFacebook(フェイスブック)が一部のユーザーの投稿への検閲を拒否したためにフェイスブックを国中で禁止していたが、2017年にこれを撤回した。

DNSクエリデータは個人のインターネット活動についての知見を得るのにも使われる。

ペイン氏は、データベースにアクセスできる人がインターネットにつながっている家庭からいかに大くの情報を得ることができるのか、データを使って示した。例えば、所有しているデバイスの種類、使用しているコンピューターウイルス対策ソフト、使うブラウザ、頻繁に利用するソーシャルメディアアプリやウェブサイトなどについてだ。家庭やオフィスでは、多くの人が1つのインターネット接続を共有するため、インターネット活動から特定の人へと追跡していくのはかなり困難だ。

広告主もまたターゲット広告のためにDNSデータを重宝している。

2017年の法律で米国のインターネットプロバイダーはユーザーのDNSクエリや閲覧履歴といったインターネット利用記録の販売が認められ、ブラウザメーカーはインターネットやネットワークのプロバイダーが覗いて回ることがしにくくなるよう、プライバシーを高めるテクノロジーを展開することで抵抗した。

DNS over HTTPSやDoHのようなDNSリクエストを暗号化するテクノロジーは、ユーザーが訪れているウェブサイトや使用しているアプリをインターネットやネットワークのプロバイダーが把握することをかなり難しくする。

画像クレジット: Nicolas Asfouri / AFP / Getty Images

[原文へ]

(翻訳:Mizoguchi