タイの通信大手AISで80億件ものネット利用記録のデータベースが流出

タイの通信ネットワーク最大手AISは、何百万人ものインターネットユーザーの何十億というリアルタイムインターネットの利用記録を流出させていたデータベースをオフラインにした。

セキュリティ研究者のJustin Paine(ジャスティン・ペイン)氏は、DNSクエリやNetflowデータを含むデータベースがパスワードなしでインターネット上にあることに気づいた、とブログに書いた。このデータベースにアクセスすると、インターネットユーザー(あるいは世帯)が今、何をしているのか誰でも「すぐに見当をつけられる」とペイン氏は話している。

ペイン氏は米国時間5月13日にAISにデータベースがオープンになっていることを警告した。しかし1週間経ってもAISからの反応がなく、ペイン氏は明らかなセキュリティ上の過失を通称ThaiCERTというタイの国家コンピューター緊急対応チームに報告した。そしてThaiCERTがAISに連絡を取った。

しばらくしてデータベースはアクセスできなくなった。

データベースを誰が所有しているのかは明らかではない。ペイン氏は、データベースで見られた記録の種類は、ネットワーク内を飛び交うインターネットトラフィックを監視できる人からのものだとTechCrunchに語った。ただ、データベースがインターネットプロバイダーに属するものなのか、あるいは子会社の1社のものなのか、はたまたAISネットワークの大企業顧客のものなのか識別するのは難しい。AISの広報担当は、電子メールによるTechCrunchからのコメントの求めに応じなかった。

DNSクエリはインターネット使用に伴う一般的な副作用だ。ウェブサイトを訪れるたびにブラウザはウェブアドレスをIPアドレスに変換する。IPアドレスはブラウザに、ウェブページがインターネット上のどこにあるのかを伝える。DNSクエリはプライベートのメッセージや電子メール、パスワードなど取り扱いに注意を要する情報を運ばないが、ユーザーがどのウェブサイトにアクセスし、どんなアプリを使うのかを特定できる。

これはジャーナリストや活動家のような、インターネット利用の記録が情報ソースの特定に使われ得るという、大きなリスクを背負っている個人にとっては深刻な問題となる。

タイのインターネット監視法では、当局のインターネットユーザーデータへの広範なアクセスを認めている。タイにはまた、アジアで最も厳しい検閲法があり、タイ王室や国家セキュリティ、特定の政治問題に対する批判を禁じている。2015年のクーデターで登場したタイの軍事政権は、ソーシャルネットワーク大企業のFacebook(フェイスブック)が一部のユーザーの投稿への検閲を拒否したためにフェイスブックを国中で禁止していたが、2017年にこれを撤回した。

DNSクエリデータは個人のインターネット活動についての知見を得るのにも使われる。

ペイン氏は、データベースにアクセスできる人がインターネットにつながっている家庭からいかに大くの情報を得ることができるのか、データを使って示した。例えば、所有しているデバイスの種類、使用しているコンピューターウイルス対策ソフト、使うブラウザ、頻繁に利用するソーシャルメディアアプリやウェブサイトなどについてだ。家庭やオフィスでは、多くの人が1つのインターネット接続を共有するため、インターネット活動から特定の人へと追跡していくのはかなり困難だ。

広告主もまたターゲット広告のためにDNSデータを重宝している。

2017年の法律で米国のインターネットプロバイダーはユーザーのDNSクエリや閲覧履歴といったインターネット利用記録の販売が認められ、ブラウザメーカーはインターネットやネットワークのプロバイダーが覗いて回ることがしにくくなるよう、プライバシーを高めるテクノロジーを展開することで抵抗した。

DNS over HTTPSやDoHのようなDNSリクエストを暗号化するテクノロジーは、ユーザーが訪れているウェブサイトや使用しているアプリをインターネットやネットワークのプロバイダーが把握することをかなり難しくする。

画像クレジット: Nicolas Asfouri / AFP / Getty Images

[原文へ]

(翻訳:Mizoguchi

カザフスタン政府によるブラウザー閲覧盗聴行為をGoogleとMozillaが共同でブロック

Google(グーグル)とMozilla(モジラ)が珍しくも協力して、カザフスタン政府が発行した信頼できない証明をブロックしている。その証明発行行為を批判する人たちによると、政府は国民のインターネットトラフィックを監視する取り組みの一環として、一般市民にその証明のインストールを強制している。

2つのブラウザーメーカーは米国時間8月21日の共同声明で、政府が発行した証明をブロックするための「技術的ソリューション」を適用したと表明している。

国民監視政策の一環として、一般市民が自分のコンピューターやデバイスに政府発行の証明をインストールするよう命じられた。インストールすると、そのデバイス上のネットワークトラフィックに政府がrootアクセスできるようになり、政府が一般市民のインターネット閲覧行為を傍受し、盗聴・盗視ができる。

研究者たちは、実際にモニタされているサイトがFacebookやTwitter、Googleなどごくわずかであることを見つけた。

カザフスタン政府は、彼らが「システムテスト」と称するものを中止し、その証明を削除してもよい、と言っているが、しかしGoogleとMozillaによれば、彼らの技術的ソリューションは証明がインストールされていてもデータの傍受などを不能にする。

Mozillaのセキュリティ担当上級ディレクターであるMarshall Erwin(マーシャル・アーウィン)氏は、「我々はこれを軽い気持ちでやっているのではない」と言う。そしてGoogleのブラウザー担当チーフParisa Tabriz(パリサ・タブリッツ)氏は、「Chromeのユーザーのデータを危険にさらす試みは、誰がやろうとも、たとえ政府の行為であっても、絶対に許さない」とコメントしている。

Apple(アップル)のスポークスパーソンによると、「その証明が信用されないようSafariに手を加えたので、現在ユーザーはこの問題から保護されている」そうだ

その悪質な証明に対するMozillaらのブロックは、ユーザーのアクションを必要とせず、不可視の状態で有効になる。

カザフスタンの人口は1800万人だ。研究者たちによると、インターネットのトラフィックを傍受しようとする政府の取り組みは、この国最大のインターネットプロバイダーを通るインターネット接続のごく一部にしか及んでいない。

中央アジアに位置するこの国は、インターネットの自由のランキングでずっと下のほうにいる。監視団体のFreedom Houseが作ったそのリストによると、同国よりもランクが低いのはロシアとイランのみである。

ニューヨークのカザフスタン領事館のスポークスパーソンは、コメントの要求に応じなかった。

関連記事:Mozillaは悪名漂うUAEDarkMatterHTTPSの証明提供者として否認

[原文へ]

(翻訳:iwatani、a.k.a. hiwa