セキュリティの不備で、インドのセキュリティ専門組織の人事ファイルと医療記録が流出

インドの中央産業安全部隊(Central Industrial Security Force、CISF)の内部文書と職員の健康記録および個人ファイルが、データに対するセキュリティの過失によりオンラインで漏洩した。

インドのあるセキュリティ研究者が、同国政府からの報復を恐れて匿名で語ったところによると、CISFのネットワークに接続されているセキュリティ装置が生成するネットワークログを収めたデータベースが見つかった。しかしそのデータベースはパスワードで保護されていないため、インターネット上の誰でも自分のウェブブラウザからログにアクセスできた。

ネットワークログには、CISFのネットワークのどのファイルがクセスされたか、あるいはセキュリティのルールによりブロックされたかを詳細に記した記録があった。ログにはCISFのネットワークに保存されている文書の完全なウェブアドレスがあり、インターネット上の誰でもそのログにアクセスでき、それらのファイルをCISFネットワークから直接、これまたパスワード不要で開くことができた。

ログには24万6千以上の、CISFのネットワーク上のPDF文書の完全なウェブアドレスの記録があり、その多くが個人のファイルや健康記録に関連し、また、CISFの職員に関する、個人を同定できる情報があった。ファイルの一部は、日付が2022年という最新のものだった。

CISFは職員数16万以上という世界最大の警察組織であり、政府の施設とインフラおよび全国の空港のセキュリティの保護を任されている。

上記の研究者によると、そのセキュリティ装置はHaltdos製で、同社は企業などにネットワークのセキュリティ技術を提供しているインドのセキュリティ企業だ。データベースの露出が最初に見つかったのは、露出しているデバイスやデータベースを見つけるShodanによると3月6日だった。TechCrunchは、そのデータベースが「haltdos」という名前で構成されていたことを確認した。

HaltdosのCEOであるAnshul Saxena(アンシュル・サクセナ)氏は、何度もコメントを求めたが応じなかった。TechCrunchはまたCISFの広報に対して、メールでそのサーバーに保存されている外部に露出しているファイルのいくつかのウェブアドレスについて尋ねたが、回答は得られていない。善意のセキュリティ研究者から警告されたときは、インドの政府機関は秘かにそのセキュリティの問題を修復し、それが変わることのない周知の知識になったときには、その主張を拒絶または否定することが普通に行われている。

データベースは現在、アクセス不能になっているが、問題のセキュリティ装置はまだオンラインのようだ。

画像クレジット:Sanjeev Verma/Hindustan Times/Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。