新型コロナウイルスの流行が始まって以来、政府や企業はユーザーがCOVID-19の症状を特定するのに役立つアプリやウェブサイトの開発に取り組んでいる。
Reliance(リライアンス)の子会社でインド最大のセルネットワークであるJio(ジオ)は、コロナウイルスのさらなる拡散を防ぐためにインド政府が実行した全国的なロックダウンの直前に、コロナウイルス自己診断プログラムを3月下旬にローンチした。この症状チェッカーを使用すると、スマートフォンやJioのウェブサイトから症状をチェックして詩自分が新型コロナに感染していないかどうかを確認できる。
しかし、セキュリティの欠落により症状チェッカーのコアデータベースの1つがパスワードなしでインターネット上に公開された事実をTechCrunchが発見した。
セキュリティ研究者のAnurag Sen(アヌラグ・セン)氏は、データベースが最初に露出された直後の5月1日にそのデータベースを発見し、Jioに通知するようTechCrunchに報告した。JioはTechCrunchが連絡をとった後すぐにシステムをオフラインにしたが、他の誰かがデータベースにアクセスしたか否かは不明である。
「弊社は直ちに行動を起こしました」とJioの広報担当者Tushar Pania(トゥーシャー・パニア)氏は話す。「ロギングサーバーは、ウェブサイトのパフォーマンスを監視するためのものであり、COVID-19の症状があるかどうかを確認するためにセルフチェックを行う人々の限定的な目的のためのものでした」。
データベースには、4月17日からデータベースがオフラインになるまでの間の数百万件のログと記録が含まれている。サーバーにはウェブサイトのエラーやその他のシステムメッセージの実行ログが含まれていたが、ユーザーが生成した膨大な数のセルフテストデータも取り込まれていた。各セルフテストはデータベースに記録され、「自分」か親戚か、年齢、性別など、テストを受けたユーザーの記録が含まれていた。
このデータには、ユーザーのブラウザーバージョンやOSに関する断片的情報である個人のユーザーエージェントも含まれていた。ユーザーエージェントは通常ウェブサイトを正常にロードするために使用されるが、ユーザーのオンラインアクティビティの追跡にも使用できるものだ。
ユーザーは登録してプロファイルを作成することにより症状を長期にわたって更新できる仕組みだが、データベースには登録されたこれらのユーザーの個人の記録も含まれている。これらの記録には、ユーザーが抱えている症状、接触した人、健康状態など、症状チェッカーによって尋ねられた各質問に対する回答が含まれている。
一部の記録にはユーザーの正確な位置情報も含まれるが、この情報が記録されるのはユーザーが症状チェッカーにブラウザーまたはスマートフォンの位置データへのアクセスを許可した場合に限定される。
以下に編集を加えたものを掲載する。
我々が入手したデータのサンプル1つから、インド全国の何千人ものユーザーの正確な地理位置情報が見つかった。TechCrunchはデータベースにある緯度と経度の記録を使用して、人々の家を識別することさえできた。
ほとんどの位置データはムンバイやプネーなどインドの主要都市に集中しているものの、TechCrunchはイギリスと北米のユーザーも見つけている。
インドの電気通信大手にとって今回の露出はこの上なく危機的なタイミングだ。先日FacebookはJioのプラットフォームの10%近くの持ち分を取得するために57億ドル(約6100億円)を出資しており、Reliance子会社である同社は約660億ドル(約7兆円)と評価されているのだ。
Jioは我々からのその後の補足質問には答えず、また、症状追跡システムを使用したユーザーにセキュリティの欠落について告知するか否かについても回答することはなかった。
関連記事:Facebookがインド最大の通信事業者Jioに約6100億円を出資
Category:セキュリティ
Tags:Jio 新型コロナウイルス Facebook インド
[原文へ]