概要#
カナダのフィンテック企業Dualesが運営する送金アプリ「Duc App」において、大規模なデータ露出インシデントが発生した。Amazon上のクラウドストレージサーバーが一般公開状態となっており、数十万件の個人情報がパスワード無しでアクセス可能になっていたことが判明した。
インシデントの詳細#
露出したデータの規模と内容#
セキュリティ研究者のAnurag Sen(CyPeace所属)によって発見されたこの問題では、Amazon上のストレージサーバーに36万件を超えるファイルが公開状態で保存されていた。これらのファイルには以下の情報が含まれていた:
- 運転免許証
- パスポート
- 本人確認用の自撮り写真
- 顧客名簿
- 自宅住所
- 取引の日時と詳細情報
データの保存期間と暗号化状況#
ファイルは2020年9月から蓄積されており、インシデント発覚時まで日々アップロードが続いていた。さらに深刻な問題として、これらのデータは暗号化されておらず、リンクを知っている誰もが完全な内容を閲覧可能な状態だった。
アクセス方法の容易さ#
Sen氏によると、推測しやすいWebアドレスを知るだけで、誰でもブラウザを使ってデータの閲覧・ダウンロードが可能だった。このような単純な方法でアクセスできる状態は、セキュリティ上極めて危険な状況と言える。
企業の対応#
TechCrunchの通知後の対応#
TechCrunchがDuales社のCEOであるHenry Martinez González氏に連絡した後、同社は火曜日にデータ露出を解決したと発表した。しかし、サーバーのファイル一覧は依然として表示可能な状態が続いている。
CEO の説明と課題#
Martinez González氏は、データが「ステージングサイト」(主にテスト用途のウェブサイト)に保存されていたと説明したものの、なぜ顧客の個人情報が同じデータベースで公開アクセス可能になっていたかについては説明しなかった。また、アクセスログなどの技術的手段によって誰が、または何人がデータにアクセスしたかを特定できるかについても回答を避けた。
規制当局の対応#
カナダプライバシー委員会の動き#
カナダのプライバシー規制当局(Office of the Privacy Commissioner of Canada)は、TechCrunchの連絡を受けて同社に情報提供を求め、次のステップを検討していると発表した。
アプリの概要と利用状況#
Duc Appは、ユーザー間での送金、特にキューバなど海外への送金を可能にするアプリとして宣伝されている。Google PlayストアでのAndroidアプリは10万回を超えるダウンロード数を記録している。
業界動向との関連#
本人確認要求の増加とリスク#
このインシデントは、アプリやウェブサイトが本人確認のために政府発行の身分証明書のアップロードを求めるケースが増加している中で発生した。しかし、収集したデータを適切に保護するための十分な対策が取られていないケースが目立っている。
類似の過去事例#
昨年にはアプリ「TeaOnHer」で数千件のパスポートと運転免許証が露出し、Discordでも年齢確認用にアップロードされた約7万件の政府発行文書に影響するデータ侵害が確認されている。
まとめ#
今回のDuc Appでのデータ露出事件は、フィンテック業界における個人情報保護の課題を浮き彫りにした。特に本人確認(KYC)プロセスで収集される機密性の高い政府発行文書が適切に保護されていなかった点は深刻である。
筆者の見解: 近年、オンライン年齢確認法の制定などによって本人確認書類の提出が世界的に増加している中、企業には収集したデータの適切な保護がこれまで以上に求められている。特にクラウドストレージの設定ミスによるデータ露出は、Amazonが設定チェック機能を強化したにも関わらず依然として発生しており、企業側のセキュリティ意識の向上が急務である。
出典: Money transfer app Duc exposed thousands of driver’s licenses and passports to the open web
