システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)
企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。
April 14, 2017 08:00
by 牧野武文
中国の就活マッチングサイト「58同城」。ここにエントリーした求職者の個人情報がダダ漏れになっているのではないかという疑惑を、中国21世紀経済報道が報じた。
58同城は、中国大手の就活マッチングサイト。求職者は無料でアカウントを作成し、自分の職歴、技能、連絡先などを登録することができる。一方、人材を求めている企業も無料でアカウントを作成し、勤務希望地、年齢、職歴、技能などで求職者の情報を絞り込み検索をすることができる。
ただし、携帯電話番号、メールアドレス、住所などの連絡先情報は閲覧することができず、閲覧をするには58同城に料金を支払う必要がある。最低価格の「セット」は、120元(約2000円)で6人分の連絡先情報を閲覧できるというもの。最高価格のセットは、2000元(約3万2000円)で138人分の連絡先情報が閲覧できる。
ことの起こりは、21世紀経済報道の記者が、大手ECサイト「淘宝」(タオバオ)に「58同城の求職者データ」という商品が出品されているのを発見したことから始まる。その出品者は、記者のメールによる問い合わせに応じて、「2万人分以上買うなら、一人分0.3元(約5円)、10万人分以上買うなら一人分0.2元」と価格を知らせてきた。もちろん、有料閲覧の連絡先情報も入っているという。
58同城の北京市の求職者情報(http://www.bj.58.com)。
就活サイトから始まり、不動産、自動車、旅行、社会人教育などの商品も販売するようになっている
58同城のデータを販売しているのは、この出品者だけではなかった。さらにデータだけでなく、閲覧ソフトウェアを販売している出品者もいた。「700元(約1万1000円)で1ヵ月使用可能で、1時間あたり数千件であれば、自由に求職者情報が検索できる。もちろん、連絡先情報も表示される」というものだ。検索結果は、Excelのファイルとして出力され、翌月も使いたいのであれば、再び700元を支払えばいいという。
記者が、検索数の制限があるのはなぜかと出品者に問い合わせると、「あまりに大量に個人情報を検索されると、58同城に知られることになり対策をされてしまうからだ」という。さらに、その出品者は、特殊な改造をしたADSLモデムの購入を勧めてきた。「このモデムは、IPアドレスをランダムに変え続けるので、制限なく大量に求職者データを収集することができる」という。
記者が、実際にこのソフトウェアを購入してみると、すでにバージョン3.0になっていた。起動して半日、連絡先情報の入った求職者の個人情報が数万件収集できた。記者はその中の数人に、連絡をして取材を試みた。すると「今日、履歴書データを登録したばかりなのに」と困惑する求職者もいた。このソフトウェアは、なんらかの方法で、58同城の最新データを収集しているようだ。
記者が58同城に取材をすると、広報担当者は「58同城では求職者のデータは暗号化をしています。内部のスタッフですら、連絡先情報などのプライバシー情報にはアクセスできないようになっています」と回答。さらに「爬虫(クローラー)などで情報を収集する技術手段に対しても対策をしています。58同城では、求職者のプライバシーを守るために、さらに技術的な措置を行う用意があります」と答えるだけで、漏洩の事実については明言を避けた。
記者がこの顛末を「安華安全」「猎豹移动」などのセキュリティ企業に情報提供すると、どのセキュリティ企業も「悪意のある爬虫を使っているとしか考えられない」と答えた。「爬虫作成ツールであるGooSeeKerを使って、爬虫を作成した可能性がある」とも言う。記者が実際にGooSeeKerにより作成された爬虫を検索してみると、違法収集をしているかどうかは別として、企業情報、自動車所有者情報、賃貸住宅オーナーなどの情報を収集する爬虫が見つかった。
58同城では、氏名、年齢、職歴、居住都市といった情報は、企業アカウントを取得すれば無料で無制限に検索できる。つまり、爬虫による収集が可能だ。一方で、携帯電話番号、メールアドレスなどの連絡先情報は暗号化されていて、58同城に料金を支払わなければ閲覧することができない。しかし、問題のソフトウェアを使うと、無制限に連絡先情報つきの求職者情報が検索できるのだ。
記者は、ホワイトハッカー集団「白帽滙」(はくぼうかい)の創設者である趙武(しょう・ぶ)氏に取材をした。
「58同城のサイトには数々の脆弱性が存在します。とくにモバイルサイトからは、求職者のIDが取得でき、連絡先情報の暗号化も弱いものでしかありません。ウェブサイトからは企業アカウントがあれば、連絡先以外の情報が取得できます。モバイルサイトから取得した暗号化情報を解読して、ウェブサイトから取得した情報と、求職者IDをキーにして組み合わせているのではないでしょうか」。
趙武氏はこの仮説が正しいかどうかを検証し、確証が得られ次第、関係部門に通報、情報提供する予定だという。
この求職サイト漏洩問題は、58同城だけの問題ではない。最大手の求職サイト「智聯招聘」(ちれんしょうへい)の企業アカウントも淘宝で販売されていて、「900元(約1万5000円)で200人分の連絡先情報が閲覧できる」とうたわれている。智聯招聘の正規の価格では、200人分の連絡先を閲覧するための料金は3200元(約5万2000円)なので、かなりの割安販売になる。
根本的な問題は、中国求職サイトのビジネスモデルにある。仕事の欲しい求職者に履歴書データを登録させ、それを求人する企業に販売をする仕組みとなっている。そのため、少しでも安く求職者データを入手したい企業と、窃盗した求職者データを売りたいサイバー犯罪者の利害が一致する。国際的な就活マッチングサイトのように、企業側に定額利用料を求めるサブスクリプションモデルや、マッチングが成立したら企業から成果報酬をもらうモデルであれば、このような大規模漏洩はおこならないだろう。
現在、淘宝では求職者データに関連する検索キーワードが無効化されており、商品検索そのものができないように対策された。また、58同城も一部で漏洩が起きていることを認め、対策をすることを約束している。
淘宝(taobao):アリババ集団が運営するECサイト。個人でも簡単に出店できるのが特徴で、年間売上は4000億元(約6兆5000億円)。現在では、法人出店専用のBtoC型ECサイト「天猫」が新設されたため、淘宝は個人間取引が中心になってきている。
爬虫(pachong):クローラー。ウェブ情報を特定の目的で読み取って、データベース化するツール。GooSeeKerという無料のクローラー開発プラットフォームがある。
白帽(baimao):ホワイトハッカー。ハッカーを黒客、ホワイトハッカーを白客と呼ぶ言い方もあるが、最近は白帽子黒客を略した白帽と言い方が増えてきている。
1
日本で進むネット世論操作と右傾化
March 29, 2018
2
政府系サイトも被害多数! 暗号通貨のマイニングコードがプラグイン経由で仕込まれる
February 16, 2018
3
悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)
February 9, 2018
4
多くの生体認証は手軽に突破可能!? 百度のハッカーが語る「生体認証の破り方」
March 6, 2018
5
世界をリードする南米のATMハッキング術
March 23, 2018
6
核兵器を超えたフェイクニュースの脅威 ロシアのハイブリッド戦闘能力(前編)
February 1, 2018
7
スマートフォンの指紋認証をセロハンテープでハッキング
February 5, 2018
8
「教科書アダルトリンク事件」の犯人が逮捕される
February 13, 2018
9
中国ホワイトハッカーが選ぶ「中国黒産業5大事件」2017年版
March 26, 2018
10
悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(前編)
February 8, 2018