11月24日週にかけて発生した、クラウド関連のセキュリテイ・トピックをダイジェストでお伝えする。

■GCPに構成されたElasticsearchから12億人の個人情報が発見される

　セキュリティ研究者のBob Diachenko氏とVinny Troia氏が、GCP上に構成された4TBを超える大量の個人情報を含むElasticsearchサーバーを発見した。発見されたデータにはパスワード、クレジットカード番号、社会保障番号などの機密情報は含まれていなかった。しかし、自宅や携帯電話番号、Facebook、Twitter、LinkedIn、Githubなどのソーシャルメディアプロファイル、LinkedInからスクレイプされた職務履歴、メールアドレス等が含まれていたという。

　2人は「単一の組織からデータが漏えいした事例としては歴史上最大のものの一つ」と指摘している。データベースが発見されたElasticsearchサーバーは暗号化されておらず、ウェブブラウザからパスワードや認証なしでアクセス可能な状態だったとのこと。

　このデータ群を誰が何の目的で構築したのかは不明。二人はFBIに報告し、現在は閲覧不能な状態になっている。

■悪意あるSDKにより、ユーザの個人情報が盗まれるリスク

　oneAudienceとMobiburnという2つのモバイルアプリ用SDK(ソフトウェア開発キット)にて作成されたアプリが、個人情報を盗み出すリスクが確認された。

　FacebookやTwitterにアクセスするためのモバイルアプリを作成する際に利用するSDKに問題が含まれていたが、FacebookやTwitterに問題があったわけではない。両社はこれらの問題のあるアプリをGoogleやAppleへ報告したり、プラットフォームから削除する等の措置を取り、問題の対処にあたっている。

■GAFAにも「通信の秘密」義務づけで法改正へ 総務省

　日本国内の通信事業者が遵守する「通信の秘密」。これによって通信事業者等、通信の中身を覗き見れる立場の事業者が通信内容を利用者の許可なく閲覧する行為を禁じている。しかし、「GAFA」のように海外に本社を置く企業は、現在「通信の秘密」の対象外となっている。11月29日に開かれた会議で、総務省が、日本の利用者に対してメールやSNSなどのサービスを提供する海外企業にも「通信の秘密」を義務づけるため法律の改正を進める方針を示した。

具体的には「通信の秘密」に違反した場合や、その疑いがある場合には、業務改善命令を出したり、報告を求めたりすることをできるようにする。問題の対応にあたるため企業側が代表者や代理人を日本に置くことを義務づけるといった案が提示された。