National Public Data Confirms Massive Breach
2024/08/19 DarkReading — データ・アグリゲーターである National Public Data (NPD) は、米国/英国/カナダに所在する一般的なインターネット・ユーザー数億人分の、個人情報記録が流出した可能性があることを最終的に認めた。フロリダ州コーラル・スプリングスを拠点とする NPD は、詳細を全く明らかにしない声明の中で、2024年4月に悪質な第三者の行為者が、NPD のデータベース内のデータにアクセスしたことについて、他の多くの企業が報告している内容を認めた。同社の説明によると、不特定多数の人々のフルネーム/電子メールアドレス/電話番号/社会保障番号/住所などが含まれるデータが、脅威アクターによりアクセスされたという。
実在する正確なデータ
NPD のアドバイスには、同社が同様の事件から身を守るための対策を講じるという、お決まりの文言が含まれていた。しかし、同社のセキュリティの不備に起因する、ID 窃盗や詐欺から身を守るための対策は、すべて被害者の責任に委ねられている。NPD はデータ・アグリゲーターであり、企業/私立探偵/人事部/人材派遣会社などが、身元調査や犯罪記録などを入手する際に、同社のデータを使用していると主張している。
X への Dark Web Intelligence の投稿によると、米国/英国/カナダの人々に関する、約 200 GB の個人情報を含む NPD のデータベースを、USDoD というハッカーが入手したというニュースは、遅くとも4月から流れていた。この脅威アクターの主張によると、NPD のデータベースには、約29 億行のレコードが含まれているようだ。多くの人々は、この情報漏洩について、過去最大級の個人情報の流出インシデントであると位置づけているが、その数値は被害者数であるという、誤った事実が報告されている。
マルウェアとサイバー犯罪に焦点を当てたコミュニティ VX-underground は、データセットをレビューし、流出したデータは本物かつ正確であり、個人の姓名/SSN/現住所/旧住所などを、30年以上も遡って含んでいると評価した。VX-underground は、「このデータから、メンバーの両親や兄弟姉妹を見つけられた。また、誰かの両親や、亡くなった親戚、叔父、叔母、いとこを特定することもできた」と述べている。
さらに、警察のデータベースには、死亡した個人の情報が含まれており、その中には 20年以上前に死亡していた人物もいたという。
“Have I Been Pwned” サイトを管理している Troy Hunt が報告しているのは、1億3400万件のユニークな電子メールアドレスと、数百万行の犯罪記録の発見である。彼は、「この膨大なデータセットには、犯罪者にとって有用なデータが含まれている。それらは、今では追跡不可能なソースからの、一般に入手可能なデータを、NPD が掻き集めて作ったとものだと思われる。したがって、役に立たない、不正確で冗長なデータも含まれている」と評価している。
ID 確認のための SSN (Social Security Number) 使用中止の必要性
今回の大規模な情報漏えいが促す、いわゆる一般的な懸念としては、消費者から預かったデータを保護する組織において必要とされる、より強力な管理体制の導入がある。昨年の Apple の調査によると、2021年と2022年のデータ流出により、25億件もの消費者記録が危険にさらされたという。
しかし、今回の件が再浮上させた、多くの人々の長年の感情もある。それは、政府機関などの組織が、あらゆる処理の主要な識別子として SSN (Social Security Number) を使用していることを、止めさせようという声である。
Simbian の CEO である Ambuj Kumar は、「NPD は、いろいろなことを、もっと上手くやるべきだったが、ひとつだけ、我々にも責任がある。暗号技術や Apple Wallet などで使われているデジタル ID に、SNN を置き換えることは、それほど難しくはなく、どちらかと言えば容易なことだ。その障害となるのは、純粋に心理的なものと惰性である。デジタル ID は、政府発行のクレジットカード番号のようなものであり、政府と本人のみが知っていると考えてほしい。たとえば、住宅ローンを申し込む際には、元の番号からトークンが生成され、その新しい番号が銀行と共有される。したがって、銀行で情報漏洩が起きても、銀行が見たものはトークンだけであり、元の番号は安全である」と指摘する。
消費者ができることの限界?
今回の情報漏洩が引き起こしたものには、消費者が自分のデータを守るためにできることの限界という論点もある。DataGrail の VP of Security である Chris Deibler は、「パスワード・マネージャーの使用、多要素認証の追加、アカウント・リセットへの注意など、通常の推奨事項のどれをとっても、今回の NPD の情報漏洩に対しては役立たずだったはずだ。現時点において本当に必要なことは、企業や規制当局のレベルであり、大規模なデータ集約を抑制することに、もっと力を入れるべきだ。
企業は、個人と同じ刺激には反応しない。したがって、より良い教育を提唱し、道徳的な規範に任せるだけでは、おそらく上手くいかないだろう。取締役会レベルで。データ収集とリスク処理に関する会話を、現実のものに切り替えるレバーが必要だ。そうすれば企業は、評判/民事/刑事/実存といった特定の責任に対応する」と述べている。
個人情報は誰のものかという、根本について考えさせられるインシデントですね。とのかく、なんの同意も得ずに掻き集められた情報が流出したわけですが、そんな情報の固まりが存在すること自体が、この問題の根本です。さらに言えば、National Public Data のユーザーにも、何らかの責任があると思わざるを得ません。よろしければ、このインシデントの第一報である、2024/08/04 の「National Public Data のデータ侵害:30億人の個人情報の流出と集団訴訟」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.