エントリー 情報が即ダダ漏れ!? 中国大手就活サイト「58同城」個人情報漏洩事件

牧野武文

April 14, 2017 08:00
by 牧野武文

中国の就活マッチングサイト「58同城」。ここにエントリーした求職者の個人情報がダダ漏れになっているのではないかという疑惑を、中国21世紀経済報道が報じた。

求職者データがECサイトで販売

58同城は、中国大手の就活マッチングサイト。求職者は無料でアカウントを作成し、自分の職歴、技能、連絡先などを登録することができる。一方、人材を求めている企業も無料でアカウントを作成し、勤務希望地、年齢、職歴、技能などで求職者の情報を絞り込み検索をすることができる。

ただし、携帯電話番号、メールアドレス、住所などの連絡先情報は閲覧することができず、閲覧をするには58同城に料金を支払う必要がある。最低価格の「セット」は、120元(約2000円)で6人分の連絡先情報を閲覧できるというもの。最高価格のセットは、2000元(約3万2000円)で138人分の連絡先情報が閲覧できる。

ことの起こりは、21世紀経済報道の記者が、大手ECサイト「淘宝」(タオバオ)に「58同城の求職者データ」という商品が出品されているのを発見したことから始まる。その出品者は、記者のメールによる問い合わせに応じて、「2万人分以上買うなら、一人分0.3元(約5円)、10万人分以上買うなら一人分0.2元」と価格を知らせてきた。もちろん、有料閲覧の連絡先情報も入っているという。

58同城の北京市の求職者情報(http://www.bj.58.com)。
就活サイトから始まり、不動産、自動車、旅行、社会人教育などの商品も販売するようになっている

閲覧ソフトでさらに見られる

58同城のデータを販売しているのは、この出品者だけではなかった。さらにデータだけでなく、閲覧ソフトウェアを販売している出品者もいた。「700元(約1万1000円)で1ヵ月使用可能で、1時間あたり数千件であれば、自由に求職者情報が検索できる。もちろん、連絡先情報も表示される」というものだ。検索結果は、Excelのファイルとして出力され、翌月も使いたいのであれば、再び700元を支払えばいいという。

記者が、検索数の制限があるのはなぜかと出品者に問い合わせると、「あまりに大量に個人情報を検索されると、58同城に知られることになり対策をされてしまうからだ」という。さらに、その出品者は、特殊な改造をしたADSLモデムの購入を勧めてきた。「このモデムは、IPアドレスをランダムに変え続けるので、制限なく大量に求職者データを収集することができる」という。

記者が、実際にこのソフトウェアを購入してみると、すでにバージョン3.0になっていた。起動して半日、連絡先情報の入った求職者の個人情報が数万件収集できた。記者はその中の数人に、連絡をして取材を試みた。すると「今日、履歴書データを登録したばかりなのに」と困惑する求職者もいた。このソフトウェアは、なんらかの方法で、58同城の最新データを収集しているようだ。

爬虫(クローラー)で情報が盗まれる

記者が58同城に取材をすると、広報担当者は「58同城では求職者のデータは暗号化をしています。内部のスタッフですら、連絡先情報などのプライバシー情報にはアクセスできないようになっています」と回答。さらに「爬虫(クローラー)などで情報を収集する技術手段に対しても対策をしています。58同城では、求職者のプライバシーを守るために、さらに技術的な措置を行う用意があります」と答えるだけで、漏洩の事実については明言を避けた。

記者がこの顛末を「安華安全」「猎豹移动」などのセキュリティ企業に情報提供すると、どのセキュリティ企業も「悪意のある爬虫を使っているとしか考えられない」と答えた。「爬虫作成ツールであるGooSeeKerを使って、爬虫を作成した可能性がある」とも言う。記者が実際にGooSeeKerにより作成された爬虫を検索してみると、違法収集をしているかどうかは別として、企業情報、自動車所有者情報、賃貸住宅オーナーなどの情報を収集する爬虫が見つかった。

58同城では、氏名、年齢、職歴、居住都市といった情報は、企業アカウントを取得すれば無料で無制限に検索できる。つまり、爬虫による収集が可能だ。一方で、携帯電話番号、メールアドレスなどの連絡先情報は暗号化されていて、58同城に料金を支払わなければ閲覧することができない。しかし、問題のソフトウェアを使うと、無制限に連絡先情報つきの求職者情報が検索できるのだ。

記者は、ホワイトハッカー集団「白帽滙」(はくぼうかい)の創設者である趙武(しょう・ぶ)氏に取材をした。
「58同城のサイトには数々の脆弱性が存在します。とくにモバイルサイトからは、求職者のIDが取得でき、連絡先情報の暗号化も弱いものでしかありません。ウェブサイトからは企業アカウントがあれば、連絡先以外の情報が取得できます。モバイルサイトから取得した暗号化情報を解読して、ウェブサイトから取得した情報と、求職者IDをキーにして組み合わせているのではないでしょうか」。
趙武氏はこの仮説が正しいかどうかを検証し、確証が得られ次第、関係部門に通報、情報提供する予定だという。

ビジネスモデルの問題

この求職サイト漏洩問題は、58同城だけの問題ではない。最大手の求職サイト「智聯招聘」(ちれんしょうへい)の企業アカウントも淘宝で販売されていて、「900元(約1万5000円)で200人分の連絡先情報が閲覧できる」とうたわれている。智聯招聘の正規の価格では、200人分の連絡先を閲覧するための料金は3200元(約5万2000円)なので、かなりの割安販売になる。

根本的な問題は、中国求職サイトのビジネスモデルにある。仕事の欲しい求職者に履歴書データを登録させ、それを求人する企業に販売をする仕組みとなっている。そのため、少しでも安く求職者データを入手したい企業と、窃盗した求職者データを売りたいサイバー犯罪者の利害が一致する。国際的な就活マッチングサイトのように、企業側に定額利用料を求めるサブスクリプションモデルや、マッチングが成立したら企業から成果報酬をもらうモデルであれば、このような大規模漏洩はおこならないだろう。

現在、淘宝では求職者データに関連する検索キーワードが無効化されており、商品検索そのものができないように対策された。また、58同城も一部で漏洩が起きていることを認め、対策をすることを約束している。

ニュースで学ぶ中国語

淘宝(taobao):アリババ集団が運営するECサイト。個人でも簡単に出店できるのが特徴で、年間売上は4000億元(約6兆5000億円)。現在では、法人出店専用のBtoC型ECサイト「天猫」が新設されたため、淘宝は個人間取引が中心になってきている。

爬虫(pachong):クローラー。ウェブ情報を特定の目的で読み取って、データベース化するツール。GooSeeKerという無料のクローラー開発プラットフォームがある。

白帽(baimao):ホワイトハッカー。ハッカーを黒客、ホワイトハッカーを白客と呼ぶ言い方もあるが、最近は白帽子黒客を略した白帽と言い方が増えてきている。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…