piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

脆弱な設定のElasticsearchによるエクアドル全国民情報流出の可能性についてまとめてみた

2019年9月16日、VPNサービスのレビュー等を行うvpnMentorはインターネット上でエクアドル国民に関わる大量の情報を発見したと発表しました。ここでは関連する情報をまとめます。

vpnMentorの発表

www.vpnmentor.com

  • 数百万人のエクアドル国民に影響が及ぶ可能性がある大規模なデータを発見した。
  • 発見したのはvpnMentorのリサーチャー Noam Rotem氏、Ran Loca氏の二人。
  • 露出していたElasticsearchには2000万人を超える個人に関わる情報が含まれていた。
  • vpnMentorはZDnetへ情報提供を行っており、同件の報道が行われている。
どうやって発見したのか

vpnMentorは大規模なWebマッピングプロジェクトの一部で確認したと説明している。

  1. 既知のIPブロックに対してポートスキャンを実行。
  2. 公開状態のデータベースに対してシステムの脆弱性が存在しないかを確認。
  3. 侵害の兆候を確認した後はデータベースの所有者の特定作業を実施。
  4. 所有者に連絡し適切な保護方法について提案を行う。
露出していたElasticsearchサーバー
  • エクアドル国民の情報を格納したElasticsearchサーバーがパスワード設定なく第三者がアクセスが可能だったと報じられている。*1
  • 問題のサーバーへは2019年9月11日に適切な対応が行われた。
  • 国民氏名のリストを格納しているとみられるindex-nombreの件数がエクアドル国民全体(約1,660万人)よりも多いのは故人を含むデータが含まれているためとみられる。
  • データは大きく分けて2種類。政府が情報源(市民の登録情報)とみられる公的なデータとプライベート(民間)をソースとするものが格納されていた。
  • Elasticsearchには2019年時点で最新の情報が含まれていた。
index名 件数 サイズ
index-empresa-matriz 189万555件 1.1 GB
index-nombre 2079万1967件 1.9 GB
index-rcivil 1910万1817件 4.5 GB
_river 20件 44.9 KB
index-biess 15万1955件 87.2 MB
index-aeade 3544件 468.2 KB
index-empresa 219万7222件 228.2 MB
index-auto 248万8111件 954.6 MB
index-buro 532万9754件 798.9 MB
index-familia 1910万1803件 4.3 GB
index-iess 702万5202件 4.9 GB

(zdnetの報道より)

いくつかのindexはその中身(項目名など)も明らかにされている。*2

  • ceduraという項目名があり、国民識別番号だとみられている。
  • 複数のIndexにceduraが含まれており、これを使って突合させることができた。
  • ZDnetが出生年の数を確認すると2014年以降の出生率レポートの数と一致していた。
  • 2012年にエクアドル政府に亡命をしていたJulian Assange氏の情報も含まれていた。
index-rcivil(国民情報)
  • cedula(国民識別番号)
  • nombre_apellido(氏名)
  • cod_sexo(性別)
  • lugar_inscrip_nacimiento(出生登録場所)
  • fecha_nacimiento(生年月日)
  • lugar_nacimiento(出身地)
  • codigo_nacionalidad(国籍コード)
  • condigo_estado_civil(婚姻状況)
  • numero_casa(番地)
  • fecha_inscrip_defuncion(志望登録)
  • lugar_inscrip_defuncion(死亡場所)
  • fecha_defuncion(死亡日)
  • fallecido(死亡の有無)
  • codigo_instruccion(教育レベル)
  • codigo_profesion(職業コード)
index-biess(国立銀行保有情報)
  • nut
  • cedula(国民識別番号)
  • operacion
  • nombre(氏名)
  • estado(口座ステータス)
  • monto_financiado_txt(融資額/テキスト)
  • monto_financiado(融資額)
  • saldo_txt(口座残高/テキスト)
  • saldo(口座残高)
  • tipo_credito(クレジットタイプ)
  • tipo_beneficiario(受益者タイプ)
  • plazo(期間)
  • provincia(州)
  • canton(群)
  • parroquia(小教区)
  • biess_telefono(銀行担当者の電話番号)
  • biess_celular(銀行担当者の携帯電話)
  • biess_correo(銀行担当者メールアドレス)|
index-auto(車登録情報)
  • cedula(国民識別番号)
  • cedula_ruc_propietario(所有者納税番号)
  • placa(ナンバープレート)
  • merca_vehiculo(製造元)
  • modelo_vihiculo(車種)
  • clase(AT/MT)
  • numero_chasis_vehiculo(シャーシ番号)
  • numero_motor_vehiculo(エンジン番号)
  • numero_camv_cpn
  • cilindraje(排気量)
  • tipo_combustible(燃料種別)
  • pais_origen_vehiculo(車両製造国)
  • pabacidad_passjeros(乗員数)
  • carga_util(積載種別)
  • codigo_canton(小教区コード)
  • codigo_entidad_policial(警察登録コード)
  • avaluo(鑑定額?)
  • valor_venta(売却評価額)
  • anlo_vehiculo(車両製造年)
  • fecha_compra(購入日)
  • fecha_ultima_matricula(最終登録日)
  • tipo(種類)
index-familia(家族情報)
  • cedra(国民識別番号)
  • nombre(氏名)
  • cedula_madre(母親の国民識別番号)
  • madre_nom_original(母親氏名)
  • prob_madre
  • cedula_padre(父親の国民識別番号)
  • padre_nom_original(父親氏名)
  • prob_padre
  • cedura_conyuge(配偶者の国民識別番号)
  • conyuge_nom_original(配偶者氏名)
  • pro_conyuge

エクアドルのコンサルティング企業管理のサーバー

f:id:piyokango:20190921062940p:plain
SNS上で関連が指摘されるサーバー(現在接続不可)Shodanの検索キャッシュより

f:id:piyokango:20190921052824p:plain
9月21日現在同社HPへはアクセスできない
f:id:piyokango:20190921054520p:plain
同社ドメインで稼働していたBIツール(今回の件との関連は不明です)

エクアドル関係者への連絡に苦慮

ZDnetは関係者(Novaestrat)への連絡に苦労した顛末を記述している。最終的にはvpnMentorがエクアドルCERTへ通報し、当該チームを仲介する形でデータが保護されることとなった。

  • メールアドレス、電話番号が公開されていなかった。
  • Facebook経由、Linkedin経由で連絡を試みたが成功はしなかった。
  • 会社のサポートフォーラムで連絡を試みるもPHPエラーが発生した。

エクアドル政府・当局の対応

  • 通信情報社会大臣が同社への捜査を行うと発表。
  • 政府の認識として同社は問題のデータを保有していることになっていなかった。
  • プライバシー侵害、および個人情報流出の容疑で2019年9月16日Novaestrat社の経営者宅を家宅捜索。
  • エスメラルダス県でコンピューターなどの関連機器を押収し、経営者本人(William Roberto G氏)も拘束。
  • 一部ではNovaestratがハッキングを受け盗み取られたと報道がある。*3なお、発見者のvpnMentorは倫理的な立場として入手した情報を販売、保存、公開は行わないと説明している。
  • エクアドル政府のデータベース侵害は否定する声明を発表している。

Gobierno enviará a la Asamblea Nacional, Ley de Protección de Datos Personales – Ministerio de Telecomunicaciones y de la Sociedad de la Información

  • 8カ月前より検討が進められていた個人情報保護の法案を3日以内に国会へ送る予定があると説明した。
  • 同社とは前政権時代2015年~2017年の契約履行でデータにアクセスしていた可能性がある。
  • 前政権の元公務員が加担した疑いがあり、複数の契約をしていたとみられる。

更新履歴

  • 2019年9月21日 AM 新規作成