2019年9月16日、VPNサービスのレビュー等を行うvpnMentorはインターネット上でエクアドル国民に関わる大量の情報を発見したと発表しました。ここでは関連する情報をまとめます。
vpnMentorの発表
- 数百万人のエクアドル国民に影響が及ぶ可能性がある大規模なデータを発見した。
- 発見したのはvpnMentorのリサーチャー Noam Rotem氏、Ran Loca氏の二人。
- 露出していたElasticsearchには2000万人を超える個人に関わる情報が含まれていた。
- vpnMentorはZDnetへ情報提供を行っており、同件の報道が行われている。
どうやって発見したのか
vpnMentorは大規模なWebマッピングプロジェクトの一部で確認したと説明している。
- 既知のIPブロックに対してポートスキャンを実行。
- 公開状態のデータベースに対してシステムの脆弱性が存在しないかを確認。
- 侵害の兆候を確認した後はデータベースの所有者の特定作業を実施。
- 所有者に連絡し適切な保護方法について提案を行う。
露出していたElasticsearchサーバー
- エクアドル国民の情報を格納したElasticsearchサーバーがパスワード設定なく第三者がアクセスが可能だったと報じられている。*1
- 問題のサーバーへは2019年9月11日に適切な対応が行われた。
- 国民氏名のリストを格納しているとみられるindex-nombreの件数がエクアドル国民全体(約1,660万人)よりも多いのは故人を含むデータが含まれているためとみられる。
- データは大きく分けて2種類。政府が情報源(市民の登録情報)とみられる公的なデータとプライベート(民間)をソースとするものが格納されていた。
- Elasticsearchには2019年時点で最新の情報が含まれていた。
index名 | 件数 | サイズ |
---|---|---|
index-empresa-matriz | 189万555件 | 1.1 GB |
index-nombre | 2079万1967件 | 1.9 GB |
index-rcivil | 1910万1817件 | 4.5 GB |
_river | 20件 | 44.9 KB |
index-biess | 15万1955件 | 87.2 MB |
index-aeade | 3544件 | 468.2 KB |
index-empresa | 219万7222件 | 228.2 MB |
index-auto | 248万8111件 | 954.6 MB |
index-buro | 532万9754件 | 798.9 MB |
index-familia | 1910万1803件 | 4.3 GB |
index-iess | 702万5202件 | 4.9 GB |
(zdnetの報道より)
いくつかのindexはその中身(項目名など)も明らかにされている。*2
- ceduraという項目名があり、国民識別番号だとみられている。
- 複数のIndexにceduraが含まれており、これを使って突合させることができた。
- ZDnetが出生年の数を確認すると2014年以降の出生率レポートの数と一致していた。
- 2012年にエクアドル政府に亡命をしていたJulian Assange氏の情報も含まれていた。
index-rcivil(国民情報)
- cedula(国民識別番号)
- nombre_apellido(氏名)
- cod_sexo(性別)
- lugar_inscrip_nacimiento(出生登録場所)
- fecha_nacimiento(生年月日)
- lugar_nacimiento(出身地)
- codigo_nacionalidad(国籍コード)
- condigo_estado_civil(婚姻状況)
- numero_casa(番地)
- fecha_inscrip_defuncion(志望登録)
- lugar_inscrip_defuncion(死亡場所)
- fecha_defuncion(死亡日)
- fallecido(死亡の有無)
- codigo_instruccion(教育レベル)
- codigo_profesion(職業コード)
index-biess(国立銀行保有情報)
- nut
- cedula(国民識別番号)
- operacion
- nombre(氏名)
- estado(口座ステータス)
- monto_financiado_txt(融資額/テキスト)
- monto_financiado(融資額)
- saldo_txt(口座残高/テキスト)
- saldo(口座残高)
- tipo_credito(クレジットタイプ)
- tipo_beneficiario(受益者タイプ)
- plazo(期間)
- provincia(州)
- canton(群)
- parroquia(小教区)
- biess_telefono(銀行担当者の電話番号)
- biess_celular(銀行担当者の携帯電話)
- biess_correo(銀行担当者メールアドレス)|
index-auto(車登録情報)
- cedula(国民識別番号)
- cedula_ruc_propietario(所有者納税番号)
- placa(ナンバープレート)
- merca_vehiculo(製造元)
- modelo_vihiculo(車種)
- clase(AT/MT)
- numero_chasis_vehiculo(シャーシ番号)
- numero_motor_vehiculo(エンジン番号)
- numero_camv_cpn
- cilindraje(排気量)
- tipo_combustible(燃料種別)
- pais_origen_vehiculo(車両製造国)
- pabacidad_passjeros(乗員数)
- carga_util(積載種別)
- codigo_canton(小教区コード)
- codigo_entidad_policial(警察登録コード)
- avaluo(鑑定額?)
- valor_venta(売却評価額)
- anlo_vehiculo(車両製造年)
- fecha_compra(購入日)
- fecha_ultima_matricula(最終登録日)
- tipo(種類)
index-familia(家族情報)
- cedra(国民識別番号)
- nombre(氏名)
- cedula_madre(母親の国民識別番号)
- madre_nom_original(母親氏名)
- prob_madre
- cedula_padre(父親の国民識別番号)
- padre_nom_original(父親氏名)
- prob_padre
- cedura_conyuge(配偶者の国民識別番号)
- conyuge_nom_original(配偶者氏名)
- pro_conyuge
エクアドルのコンサルティング企業管理のサーバー
- 米フロリア州マイアミに存在するセキュリティ保護のないサーバーで確認された。
- このサーバーはエクアドルのNovaestrat社が管理していたとみられる。
- Novaestrat社はエクアドル市場向けにデータ分析や戦略的マーケティングを提供するコンサルティングファーム。
エクアドル関係者への連絡に苦慮
ZDnetは関係者(Novaestrat)への連絡に苦労した顛末を記述している。最終的にはvpnMentorがエクアドルCERTへ通報し、当該チームを仲介する形でデータが保護されることとなった。
- メールアドレス、電話番号が公開されていなかった。
- Facebook経由、Linkedin経由で連絡を試みたが成功はしなかった。
- 会社のサポートフォーラムで連絡を試みるもPHPエラーが発生した。
エクアドル政府・当局の対応
Esta tarde / noche la @PoliciaEcuador realizó el allanamiento del local señalado como domicilio de #Novaestrat que es además el domicilio de uno de sus directivos.
— María Paula Romo (@mariapaularomo) September 17, 2019
Allanamiento se hizo con orden de juez en el marco de la investigación que conduce @FiscaliaEcuador pic.twitter.com/toD79a1FDO
- 通信情報社会大臣が同社への捜査を行うと発表。
- 政府の認識として同社は問題のデータを保有していることになっていなかった。
- プライバシー侵害、および個人情報流出の容疑で2019年9月16日Novaestrat社の経営者宅を家宅捜索。
- エスメラルダス県でコンピューターなどの関連機器を押収し、経営者本人(William Roberto G氏)も拘束。
- 一部ではNovaestratがハッキングを受け盗み取られたと報道がある。*3なお、発見者のvpnMentorは倫理的な立場として入手した情報を販売、保存、公開は行わないと説明している。
- エクアドル政府のデータベース侵害は否定する声明を発表している。
- 8カ月前より検討が進められていた個人情報保護の法案を3日以内に国会へ送る予定があると説明した。
- 同社とは前政権時代2015年~2017年の契約履行でデータにアクセスしていた可能性がある。
- 前政権の元公務員が加担した疑いがあり、複数の契約をしていたとみられる。
更新履歴
- 2019年9月21日 AM 新規作成
*1:既定では基本認証が必要で、匿名アクセスが可能な設定となっていたのではないかとみられる
*2:項目名横の括弧書きはpiyokangoの推測で誤っている可能性もあります。
*3:南米エクアドル ハッカー攻撃でほぼ全国民の情報流出,NHK,2019年9月18日