データブローカーは情報の収集、整理、販売に非常に長けています。しかし、Exactisが3億4000万件ものレコードを検索者なら誰でもアクセスできるようにしていたという事実が示すように、彼らはデータの保護にそれほど長けているとは言えません。この最新のニュースは、ほとんどの人が聞いたこともない企業が、米国民の相当数の個人情報を危険にさらしたことを意味します。しかも、またしても。
まさにこのシナリオはここ数年で何度も繰り返され、まるで童話のように予測可能になりつつあります。ある企業が人々の情報を収集し、それを他社に売却することで大金を儲けました。しかし、そのデータのセキュリティを確保できず、何億人もの人々が被害に遭いました。近いうちに、1年間の個人情報盗難保護の無料提供や経営陣の刷新について耳にすることになるかもしれません。そして、今回の漏洩によってさらに多くの人々が影響を受けたことが明らかになり、ついにニュースサイクルから消え去るでしょう。
まず、Exactisの詳細から見ていきましょう。同社は「最高品質のトリプル検証済みビジネスおよび消費者マーケティングデータ」を提供することで、「入手可能な最もクリーンで正確なマーケティングデータでビジネスを成長させよう!」と謳っています(これはGoogle検索の説明によるものです。Exactisのウェブサイトは現在アクセスできません。おそらく、誰が情報を漏洩したのかを突き止めようと人々が急いでいるためでしょう)。こうしたデータは確かにマーケティング担当者にとって貴重ですが、特定の人物を狙うハッカーにとっても有用な情報です。
Wired誌は、Night Lion Securityの創設者であるヴィニー・トロイア氏が今月初めにExactisの漏洩を発見したと報じている。トロイア氏は同社からの漏洩を特に狙っていたわけではなく、Shodan検索ツールを使ってElasticSearchデータベースを探していただけだった。検索結果にExactisのデータベースが表示され、ファイアウォールで保護されていなかったため、トロイア氏は同社の記録にアクセスすることができた。トロイア氏によると、データベースには2億3000万人の消費者と1億1000万社の企業の記録が含まれていたが、Exactisが事件に対応し、最終的に調査を進めるにつれて、この数字は変化する可能性があるという。
トロイアは、ちょっとした検索でこのデータベースを偶然発見した。盗んだ情報を売買して生計を立てている人々、あるいはそれを利用してさらなる犯罪行為に利用している人々が、これほどまでに保護が不十分な個人データの山を見つけなかった可能性はどれほどあるだろうか?つまり、米国人口のかなりの部分(約70%)が、Exactisによって何らかの記録を漏洩された可能性が高い。トロイアがこれらのデータベースを最初に発見したのか、それとも単に最初に公表しただけなのかは、永遠にわからないかもしれない。
幸いなことに、Exactisは金融情報、社会保障番号、あるいは同様の機密性の高いデータを漏洩していないようです。収集された情報は詐欺師やその他の攻撃者に悪用される可能性はありますが、個人の財務状況に直接的な脅威を与えるものではありません。Wiredによると、Troiaが問題を指摘した後、Exactisはデータベースを保護しており、第三者がアクセスできないようになっているはずです。しかし、同社はこのインシデントを公に認めていないため、どのような対策を講じているのかは不明です。
残念なことに、一般の人々は存在すら知らないデータブローカーによって危険にさらされる運命にあるようです。まさにEquifaxで起こったことです。Equifaxは昨年、1億4,300万人がデータ侵害の影響を受けたと発表しました。しかし、侵害の影響を受けた人の数は増え続けており、影響を受けた情報の範囲も拡大しています。EquifaxやExactisのようなデータ収集業界の別の企業が同様のセキュリティ上の欠陥に遭遇するのは、おそらく時間の問題でしょう。今しばらくお待ちください。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
