月別アーカイブ: 2018年6月

『サイバー攻撃者の「巨大ファイル」4種類、22億の漏洩データを発見』??

セキュリティ関係の調べものをしていて、偶然とある発見があった。

『検索可能なネット表層さまようアカウント情報約22億件 – 流出事故とも一致」(Security NEXT 2018/05/17)

このニュースのソースはこちら。

『サイバー攻撃者の「巨大ファイル」4種類、22億の漏洩データを発見~14億の標的パスワードファイル/7億の詐欺メール送信先ファイル/2800のハッキングサイトファイル』(ソリトンシステムズ 2018/05/08)

このニュースリリースでは「本調査において新たに4つの重要な巨大ファイル群を発見しました」とあるが、「14億クレデンシャル」はセキュリティ企業「4iQ」が2017/12/08に発見したものだ。

‘1.4 Billion Clear Text Credentials Discovered in a Single Database(14億のクリアテキストのクレデンシャルが単一のデータベースで発見)’ (4iQ 2017/12/08)
『ダークウェブに14億件の個人データ流出、有名ポルノサイトも』 (フォーブズ・ジャパン 2017/12/14)

また、「Onliner Spambot」はTroy Hunt氏が2017/08/30に個人ブログで公開している。

‘Inside the Massive 711 Million Record Onliner Spambot Dump’ (Troy Hunt 2017/08/30)
『6億件以上のメールアドレスが誰でもアクセス可能な状態のスパムボットサーバー上に置かれていた』 (GIGAZINE 2017/08/31)

どういうことなのだろうか?

欧州委員会曰く、GDPRは我々には適用されない

欧州委員会(EC)が自らの個人データ漏えいについてGDPRは適用されないと発表したらしい。

‘Embarrassing’ leak shows EU falls short of own GDPR data law (The Telegraph 2018/05/30 22:49)

欧州委員会の個人データ漏えいはIndivigital社からThe Daily Telegraph紙に提供された証拠で明らかになったようだ。

THE EU’S WEBSITE IS SERVING THIRD-PARTY CONTENT AND SPREADSHEETS CONTAINING HUNDREDS OF NAMES AND EMAIL ADDRESSES (Indivigital 2018/05/27)

EUのウェブサイトがEUのさまざまなワークショップやイベントに参加した個人の氏名、メールアドレス、電話番号、携帯電話番号を含むスプレッドシートを公開状態にしていたとのこと。

グーグル検索の結果には、EUのウェブサイト上にあるExcelファイルが約2万4千件現われ、europa.euドメイン上のそれらExcelファイルは、グーグルの詳細検索機能を使えば誰でもアクセスできるようだ。

その一つは欧州食品安全機関が公開したものと、2013年11月開催の「Scientific Colloquium Series」の出席者101名のデータ。

そのデータには姓名、メールアドレス、郵便番号、住所、電話番号、携帯電話番号、FAX番号が含まれる。その他、公開状態で誰でもアクセスできるようになっていたExcelファイルには以下のようなものがあったらしい。

・「Cultural Infodays 2009」という画像と437行のデータ。名前、メールアドレス、組織名を含む。政府機関や大学職員、非営利団体や民間企業の職員のデータもああり、多くのメールアドレスは政府機関や非営利団体のものだが、GMailなどのフリーメールもあった。

・Marine Expert Gropのものと思われるExcelファイルもあり、参加者の氏名、メールアドレスと、出欠確認のデータもあった。多くのメールは政府機関のものだが、いくつかは非政府機関のもの。

・欧州委員会が公開したExcelファイルもあり、氏名、メールアドレスを含む63名の個人データがある。メールアドレスは大部分がGMail。シートの列名には「nature of involvment(関与の性質)」というものや、各個人の能力についての短い記述と思われるものもある。たとえば「ITとソーシャルメディアのスキル」「WB RAAの草稿に助力した」「プロジェクト管理の経験あり」など。

後者のExcelファイルは2016年11月3日、4日開催の”Balkan Connexion”というイベントに関するものと思われ、EUのウェブサイトによれば、このイベントは学生を含む90名が参加した。

多くのExcelファイルは684行の個人データがあるものも含めて、各個人の明示的な同意によって公開されていると思われ、同意の概要を示すeuropa.euのページにリンクされており、そこからもExcelファイルへリンクされている。

その他の例として、”FOREST project”専用のウェブサイトに列挙されたExcelファイルがあり、ここには氏名や携帯電話番号を含むユーザの詳細な個人情報があり、2010年から2018年の間に公開されたワークショップのウェブページからリンクされている。

これらは明らかにGDPR違反となる。

しかし欧州委員会のスポークスマンはEUの各種機関は「法的な理由」でGDPRとは分離されており、GDPRにならった新しい法律に従うことになると発表したようだ。その新しい法律は今年2018年秋に施行されるとのこと。