Vol.101 人類史上最大・1億9800万人分の「有権者情報」露出事故

人類史上最大・1億9800万人分の「有権者情報」露出事故

人類史上最大・1億9800万人分の「有権者情報」露出事故
その発生原因は「うっかり」

2016年の6月と言えば、アメリカ合衆国第45代大統領選挙戦が過熱していた時期です。人類史上最大の「有権者情報」露出事故は、このタイミングで発生しました。日本でもネットニュースを中心に複数のメディアで報道されましたので、記憶されている方も多いかと思います。その露出されたデータの数は実に1億9800万人分。これはアメリカ合衆国総人口の約61%(※2016年の人口:約3億2,400万人から算出)に相当し、「有権者」情報としてはほぼ全てです。
1.1テラバイト(約1,100ギガバイト)もの大量なデータには、氏名・生年月日・住所・電話番号などの基本的な情報だけでなく、銃規制や幹細胞研究などへのスタンス、環境保護派か、減税賛成派か、さらにトランプのアメリカファースト支持派か、といった選挙戦に重要な影響を及ぼすデータ、さらに民族や宗教といったデリケートな情報まで含まれていました。漏洩を発見した米セキュリティ企業Up Guard社によれば、問題のデータは2016年の大統領選挙に際して、共和党全国委員会(RNC)から情報分析を請け負っていたマーケティング会社Deep Root Analyticsが運用していたもので、Amazon Web Server(AWS)にパスワード未設定の状態で保存され、なんと12日間も誰でもデータを閲覧・ダウンロードできる状態になっていたそうです。

この史上最大の有権者情報露出事故は、どのようにして起こったのでしょうか?

それはDeep Root Analytics社の「うっかり」ミスによるものだったようです。
同社がセキュリティ設定をアップデートした際の不手際により、AWSのAmazon S3バケットが一般にアクセスできる設定になっていたことが原因でした。堅牢なセキュリティ環境で保存されるべきデータが誰でもアクセスできる環境に「露出」してしまったり、漏洩する事故はハッカー集団などによるサイバー攻撃をイメージしますが、この事故にあるようなITシステムの誤設定など、ヒューマンエラーに起因していることも多いことが現実です。
サイバー攻撃対策に加え、ヒューマンエラー、ソフトウェアのアップデートやパッチ、技術的な誤操作までを範囲とすると「100%」防ぐことは現実的には難しいですが、万一の可能性を考慮した対策、その予兆を検知し迅速なする仕組みを備えるなど、被害が深刻化する前に素早く対応するサイバーレジリエンス(回復力)を高める取り組みも重要ですね。今後も適時、「情報セキュリティ」にフォーカスした情報を発信して参ります。

ページトップへ