Ai.Type、MongoDBの設定ミスにより3千万ユーザのデータが誰でもアクセス可能状態に

 セキュリティ会社「Mackeeper」のBob Diachenko氏は、Ai.Type社のユーザ31,293,959人分のデータがオンライン上で公開されていたことを発見した。Ai.TypeはAndroidやiPhoneで人気のキーボードアプリ。

Bob氏によれば、Ai.Type社のMongoホストデータベース 577GBがインターネット経由で誰でもアクセス可能な状態になっていたという。Bob氏は「MongoDBデータベースのデフォルト設定では、インターネットに接続している誰もがデータベースを参照したり、ダウンロードしたり、最悪の場合でもデータベースに保存されているデータを削除することができる。」と警告している。

■連絡先からキーストロークまでのすべてが収集されているように見える

 3000万人の顧客データがアクセス可能な状態で置かれていたことも問題だが、この事案はそれだけではすまなかった。Bob氏が誤って公開されていたデータを解析してみたところ、アプリの動作に関係あるとは思えない、膨大な個人情報を収集していた形跡が確認されたのだ。

Ai.Typeのデータ解析で確認されたデータ。

・デバイスの登録情報

電話番号、所有者のフルネーム、モバイルネットワーク名、SMS番号、画面解像度、有効なユーザー言語、Androidバージョン、IMSI番号、IMEI番号電話、居住国、ソーシャルメディアのプロフィール(生年月日、タイトル、Eメールなど)および写真(Google+、Facebookなどへのリンク)、IPに関連する情報に関連付けられた電子メール、場所の詳細

・電話帳と連絡先の記録

登録されたユーザーの電話から盗まれた3億7,300 万件以上のレコード

・地域別に最も人気の高いユーザーのGoogle検索クエリ

1日あたりの平均メッセージ、1メッセージあたりの単語等

 これら収集されていたと思われるデータに対してBob氏は「衝撃的な量の情報」と表現している。

■アプリインストール時には提供する情報に注意

アプリの実行に関係無いと思われるデータをスマホから収集しようとする例はこれまでにも度々事例が報告されている。スマホには様々なアプリは欠かせないが、アプリの利用と引き換えにどういった情報を提供することになるのか、注意した方が良いだろう。

また、情報セキュリティ担当者は、自社の顧客DBのセキュリティ設定に問題が無いことを確認することを推奨する。