ハクソク

世界を動かす技術を、日本語で。

ID確認データ漏洩で1Bの個人情報が流出

74日前原文(aol.com)

概要

  • IDMerit 関連のデータベースが無防備な状態で公開され、約 10億件 の個人情報が流出
  • 米国 だけで2億300万件以上の記録が対象、26カ国に影響
  • 情報には 氏名、住所、誕生日、ID番号 など極めて機密性の高いデータが含まれる
  • 犯罪者による SIMスワップ や標的型フィッシング詐欺などのリスク増大
  • 今後の 対策 や注意点についても詳細に解説

IDMerit関連の大規模個人情報流出事件

  • IDMerit は企業向けの身元確認サービスを提供する企業
  • 研究者が 2025年11月11日 にMongoDBの無防備なデータベースを発見
  • パスワード保護がなく、誰でもアクセス可能な状態
  • データ内容
    • 氏名
    • 住所
    • 郵便番号
    • 生年月日
    • 国民ID番号
    • 電話番号
    • メールアドレス
    • 性別
    • 一部には通信関連メタデータや内部フラグも含まれる
  • 26カ国 に影響、特に米国・メキシコ・フィリピン・ドイツ・イタリア・フランスが被害大
  • 研究者の指摘後、 翌日にデータベースは保護 される
  • 現時点で 不正ダウンロードの証拠は公表されていない が、自動化されたボットによる即時コピーのリスク

流出データの悪用リスク

  • 銀行口座開設 や金融アプリ登録時に提出する情報と同等
  • 犯罪者による SIMスワップ攻撃 の可能性
    • 携帯キャリアを騙して電話番号を奪取
    • SMS認証コードの傍受、銀行・メールアカウントへの不正アクセス
  • 標的型フィッシング詐欺 への悪用
    • 実在の住所やID番号を使った信頼性の高い詐欺
  • データが整理されているため、 自動化ツールで大量の標的を効率的に攻撃 可能

IDMeritの公式見解

  • IDMerit は「自社は顧客データや基礎データを保有・管理していない」と主張
  • グローバルな認証データソースと連携し、本人確認を実施
  • 倫理的ハッカーからの通報 で問題を認識、即時調査を実施
  • 自社環境における 脆弱性や不正アクセスの痕跡は確認できず
  • パートナー企業にも通知し、 追加調査を依頼
  • ハッカーからの報告書提出要求が「金銭要求(ランサム)」と判断
  • 現時点で 顧客データ流出の証拠なし と説明
  • 引き続き セキュリティ対策を強化し、調査を継続

被害防止のための具体的対策

  • 信用情報機関 への連絡と クレジット凍結 の実施
    • 他人によるローンやクレジットカード申請を防止
  • SMSによる二要素認証 から 認証アプリ への切り替え
    • SIMスワップ対策
  • パスワード管理ツール の活用
    • 強力かつ個別のパスワード設定
  • ID盗難監視サービス の利用
    • ダークウェブ流出や不正利用の早期発見
  • 携帯キャリアのアカウント設定強化
    • ポートアウトPIN等の追加セキュリティ設定
  • ウイルス対策ソフト の導入
    • フィッシングやスパイウェアの防御
  • データ削除サービス の利用
    • データブローカーや検索データベースから個人情報を削除
  • 不審な連絡への対応
    • 住所やID番号を伝えられても即信用せず、公式サイト掲載の番号に自分で連絡

デジタル社会のインフラとしての課題

  • 本人確認サービス企業 はデジタル経済の重要インフラ
  • 一社のセキュリティ不備が世界中の多くの一般人に波及
  • 委託・再委託 の連鎖で責任の所在が不明確になるリスク
  • 大規模な個人情報流出時の自動的な罰則導入 の是非が問われる社会的課題

ご意見・ご感想はCyberguy.comまで。 最新のセキュリティ情報や対策はCyberguy.comで随時更新中。

Hackerたちの意見

KYC = 顧客を殺せ。

もうほぼ1ヶ月前の記事だけど、元のソースはここだよ: https://cybernews.com/security/global-data-leak-exposes-bill... どこにも確認がないし、最初に見たときはかなり怪しくて信頼できなかったけど、今は情報が増えてるみたい。とはいえ、具体的に何の記録なのか、ユニークな数がどれくらいあるのかは書いてないね。

変な記事だね。一つには、研究者が「彼らは信じている」と言ってるけど、どうやら確信が持ててないみたい。IDMeritはそのデータの所有者ではないと否定してるし、パートナーもいないって。どこでどうやってこのデータベースを見つけたのか、詳細がほとんどない。もしかしたら、何かの悪戯か身代金要求の試みか?それとも、本当にインターネット上に数十億の未確認のプライベートデータベースが放置されてるだけなのか。

データベースは存在すると思うけど、いくつかの詳細が合わないんだよね。IDMeritは「IDMERITのシステムとセキュリティインフラは一度も侵害されたことがない」とか、「このイベントの前後を含めて、パートナーのシステムからデータが漏洩したことはない」とか、「IDMeritは顧客データを所有、管理、保存していない」と言ってる。でもCybernewsは、通知を受けた後に「データベースをすぐに確保した」と言ってるし、IDMeritに関する理由も言ってないみたい(見逃したかもしれないけど)。全然意味がわからないよ。

記事の更新をまとめると、IDMeritはセキュリティ研究者に証拠を求めたけど、研究者は最初にお金を要求したからIDMeritは引いてしまった。IDMeritは、自分たちがハッキングされた証拠がないから、ハッキングされてないと言ってる。研究者はフリーランスで…CyberNewsのために働いてるし…もし誰かがIDMeritにフォローアップしても、彼らは影響を受けてないって言うだろうね。現時点で、彼らが脆弱だったかどうかを証明できるのはそのセキュリティ研究者だけだと思う。もし彼が名乗り出なければ、脆弱じゃなかったとしか考えられないけど、確証はない。これは今後の責任ある開示の良い教訓だね。…それに、規制されたソフトウェアビルディングコードが必要だっていう別の例でもある。遵守しない場合の罰則も必要だよ。もし誰かが認証なしで公開Mongoインスタンスをホスティングしていたら、州や連邦の機関に報告すべきで、他のコード違反と同じように実際の罰則が適用されるべきなんだ。そもそもそんな状態で立ち上げることを許可されるべきじゃなかった。ビジネスを監視するのはランダムな「セキュリティ研究者」じゃないはずだよ。

IDMeritって、どこからこんなデータを集めてるんだ?名前、誕生日、住所、電話番号、国民ID番号が10億人以上分あるって、どうやって?

記録は必ずしもユニークとは限らない。名前の変更、住所の変更、電話番号の変更などがあると、こういうダンプに「新しい」記録ができることがある。

10億という数字には、1人あたり複数の記録が含まれるだろうね。例えば、俺(ドイツに住んでるドイツ人として、状況によるけど)がオンラインで銀行口座を開設する際に、これらの会社の一つと電話をしてパスポートの写真や情報を確認される。で、オンラインショップで分割払いを選ぶと、また同じことが起こる。小口融資の申請?同じこと。株式取引や暗号通貨の口座を開設?また電話がかかってくる。別の銀行からの分割払いも同じだし、身分証明を再確認する方がデータベースをチェックするより簡単みたい。これらはすべて別の記録になる。新しい身分証明書や住所、名前(結婚したかもしれないし)で確認されることもあるけど、ほとんどは同じデータが再確認されるだけ。どれも同じ身分証明サービスを使ってるわけじゃないけど、そんなに多くはないと思うし、同じ会社が異なるブランド名で運営してるってことも驚かないな。

運転免許証やパスポートをスキャンするプロセスが含まれてるなら、納得できるね。編集:これを再読すると、スケールの話をしてるのが明らかだね。元の記事はもっと良いよ: https://cybernews.com/security/global-data-leak-exposes-bill...

もし俺がラスベガスにいたら、そのID認証会社のCXOたちのデータが漏洩に含まれてないって、全財産を賭けるね。マクドナルドのCEOの動画と同じで、彼らは自分たちが作ったものを使わないんだよ。

それか、テック系の経営者たちが子供にソーシャルメディアを使わせないって話。

彼らのデータも含まれてると思うよ、理由は二つある。まず、KYCのための本人確認データは、ファストフードやソーシャルメディアとはちょっと違って、KYCチェックを受けずに普通の生活を送るのはかなり難しいんだよね。(ビットコインで給料もらって現金で買い物するって言う人もいるだろうけど。)もしKYCが必要な金融商品やサービスに申し込んで、あなたに関する情報が見つからなかったら、その商品を拒否されるか、身分証明をするためにいろいろな手続きをしなきゃいけないことが多い。だからCXOたちにとって、自分のデータがこういうデータセットに含まれてるのはメリットがあるんだ。実際、給料が良ければ、平均的な人よりもKYCチェックが必要な活動が多いかもしれない。二つ目は、もっと単純な理由で、自分のデータは正確さがわかるから、良いテストケースになることが多いんだよね。

マーケティング部門には誰も教えてなかったみたいだね: https://www.idmerit.com/blog/idmerits-data-breach-fail-safe-... 保存版: https://archive.ph/MdSfO

今のところ、年に1〜2回、どこかの会社が私のプライベートデータを漏洩させたってメールが来るんだ。もう完全にルーチン化してる。会社が漏洩した記録1件につき少なくとも1000ドルを支払う法律が必要だよ、そうしないと何も変わらない。今の「1年間のクレジットモニタリングを提供します」っていうコストなんて、ほんとに軽いお咎めにもならない。

それにインフレに連動させるか、総収入の何%かにしないと、数年後には罰金を払う方が情報セキュリティ担当者を雇うより安くなっちゃうよ。

これには本当に腹が立った: > 「倫理的ハッカーからのセキュリティインシデントレポートを証拠として要求しました」 だから、彼に公正なバグバウンティを支払う代わりに、正式なレポートを書いて問題があることを証明しろって要求してるんだ。完全に狂ってるけど、さらにひどいことが起きた: > レポートのためにお金を要求されたことで、これは身代金に関する事件だという疑念が確信に変わった。すごいね。セキュリティ研究者が「喜んでコンサルティングの仕事をします」と言って、自分の料金を伝えたら、彼らは逆上して、彼が会社に問題を知らせたのは身代金を要求するための陰謀の一部だと非難したの?これを考えた人は完全に妄想的で、ほんとにひどい奴だよ。善行が報われないって、まさにこのことだね。

私たちは独自のプラットフォームを所有・運営していますが、顧客データや独立したデータソースが管理している基盤データは所有・管理・保存していません。これは重要な文のように思えます。実際、このデータベースはIDMeritが運営しているのか、それとも別の誰かが運営しているのか?もしそうなら、誰なんでしょう?

以前は、郵便で「あなたの身元が危険にさらされています。こちらが身元監視サービスのサブスクリプションです。」って手紙が来たことあったよね。システムが壊れてるよ。基盤となるインフラのせいで、こんなに脆弱になっちゃいけないよ。