米不動産保険大手から8億8500万件の顧客データが露出

セキュリティ関連の記者であるBrian Krebsからの最新ニュースだ。Fortune 500社の不動産保険大手であるFirst Americanが、同社のウェブサイトのバグのため、およそ8億8500万件の機密記録が露出した。

Krebsの記事によると、同社のウェブサイトは、銀行口座番号、勘定明細、住宅ローンと税の記録、社会保障番号、そして運転免許証の画像をシーケンシャルな形式で保存し露呈していた。そのため、ドキュメントのウェブアドレスを知っている者が簡単にアクセスできるだけでなく、アドレスの中の数字をひと桁変えるだけで他人のドキュメントも見られた。

パスワードなど、他人のドキュメントへのアクセスを防ぐ認証の仕組みはまったくなかった。

Krebsの記事は、いちばん古いドキュメントの番号が「000000075」で、数が大きいほど新しいドキュメントだと言っている。

露出した中で最も古いのは、2003年のドキュメントだそうだ。

彼の記事では「露出したファイルの多くは、住宅などの物件のバイヤーとセラーの間の電信によるトランザクションの記録で、銀行の口座番号などの情報が含まれている」と書かれている。First Americanは米国最大の不動産権原保険のひとつで、2018年の収入が58億ドルだ。

First AmericanのスポークスパーソンMarcus Ginnaty氏が、本誌TechCrunchに次のように述べた:

5月24日にFirst Americanは、そのプロダクションアプリケーションのひとつに顧客データへの無許可アクセスを可能にする設計不良があることを知った。セキュリティとプライバシーおよび守秘性は最高位のプライオリティであり、私共には顧客の情報を保護する義務がある。したがって、弊社は直ちに対策措置を取り、アプリケーションへの外部アクセスを遮断した。私共は現在、これが顧客の情報の安全に及ぼした影響を査定している。私共は外部の科学捜査企業を起用して、弊社顧客データへの実害のある無許可アクセスがなかったことを確認した。

セキュリティ研究家のJohn Wethington氏よると、ウェブサイトを落としてもドキュメントの多くは検索エンジンにキャッシュされている。しかし本誌TechCrunchは、データがまだ読める状態である間は、露出したデータへのリンクを差し控える。

これは住宅ローンのデータ侵害としては、ここ数カ月で最新の事件だ。

TechCrunchは1月の独占記事で、金融や銀行関連の2400あまりのドキュメントが、パブリッククラウドのストレージサーバー上で不注意により露出して、誰でもアクセスできる状態になったと報じた。そのデータには住宅ローンや一般ローンの契約書をはじめ、さまざまな機密情報が含まれていて、個人の財務状況が丸裸になってしまうのだ。

First Americanからの所見によりこの記事をアップデートした。

関連記事: Millions of bank loan and mortgage documents have leaked online(膨大な量の金融関連ドキュメントが漏洩、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa