- 研究者が約20万件の個人情報が流出していることを発見
- これは請求プラットフォーム「Invoicely」に属するものと思われる
- 影響を受けた人は詐欺や個人情報盗難のリスクにさらされている
暗号化もパスワードも設定されていない状態で公開されていたデータベース(178,519件のファイル)が、サイバーセキュリティ研究者のJeremiah Fowlerによって発見されました。流出したファイルのサンプルを調査したところ、氏名、住所、電話番号、税IDなどの個人を特定できる情報(PII)が含まれていたと報告されています。
記録を分析した結果、研究者はこのデータベースが中小企業向け請求プラットフォーム「Invoicely」に属していると推測していますが、データベースが同社によって直接所有・管理されているのか、第三者によって運用されているのかは確定していません。
PIIが関与する場合の重大な懸念は個人情報盗難の脅威です。犯罪者はあなたの情報を使ってローンやクレジットカードを不正に取得しようとします。さらに財務情報や請求書が含まれることで、攻撃者が偽の請求書や取引を用いて顧客やビジネスパートナーになりすます危険性も高まります。
リスクの高まり
税務書類などの財務情報が含まれていることで、攻撃者が詐欺やソーシャルエンジニアリング、標的型フィッシング攻撃など、さまざまな攻撃を仕掛ける機会となります。さらに、ビジネス取引を通じてより価値の高い標的にたどり着く可能性もあります。
研究者はまた、盗まれた個人情報を使った不正な税申告のリスクについても指摘しています。2025年には約6,000件の税申告が盗まれた身元情報で提出され、納税者がその後の対応に追われる複雑な状況を生み出しています。
「請求や会計プラットフォーム、アプリケーション、サービスを開発・提供する組織へのアドバイスとしては、可能な限り個人データの収集と保持を制限することです」とFowler氏は述べています。
「機密情報は暗号化し、人間が読めないようにしてください。そうすれば、データが流出した場合でも暗号化が追加のセキュリティ層となります。完全に解読できないわけではありませんが、適切に暗号化されたファイルは正しい認証情報がなければアクセスするのが非常に困難です。」
GoogleニュースでTechRadarをフォローし、 お気に入りの情報源に追加して、専門家によるニュース、レビュー、意見をフィードで受け取りましょう。フォローボタンをクリックするのをお忘れなく!
もちろん、TikTokでTechRadarをフォローして、ニュースやレビュー、開封動画などを動画でチェックしたり、WhatsAppでも定期的に最新情報を受け取ることができます。
