MongoDBデータベース16TBが流出、リード獲得用レコード43億件が露出

あらゆるプロフェッショナルが立ち止まってオンラインプライバシーについて不安を抱くべき重大な出来事として、サイバーセキュリティ研究者のBob Diachenko氏は、nexos.aiと協力し、2025年11月23日に保護されていないMongoDBデータベースを発見しました。この膨大なコレクションは総量約16テラバイト（TB）に達し、オンライン上で無防備に公開されたままになっていたため、犯罪者が標的型攻撃に容易に悪用できる43億件のプロフェッショナル記録が衝撃的に露出しました。

参考までに、MongoDBは、企業が大量のデータを保存するために広く利用している人気のデータベースの一種です。Diachenko氏によると、所有者に通知してからわずか2日後にデータベースは保護されたものの、それ以前に誰がアクセスした可能性があるのかを知ることは不可能です。

発見の経緯とデータの詳細

Cybernewsチームによるさらなる調査で、このデータセットには「profiles」「people」「unique_profiles」といった名称の9つの独立したセクション（「コレクション」）が含まれていることが判明しました。少なくとも3つのコレクションでは、約20億件に迫る個人記録が露出していました。

露出していた詳細には、氏名、メールアドレス、電話番号、職務内容、職歴、学歴、そしてLinkedInのようなプロフェッショナル向けプラットフォームへのリンクなど、個人を特定できる情報（PII）が含まれていました。

「unique_profiles」コレクションだけで、写真付きのレコードが7億3,241万2,172件以上含まれていました。研究者はまた、「people」コレクションにApollo.ioネットワークに紐づく指標やIDが含まれていることも確認しました。

「研究者によれば、特定のコレクション内のレコードはすべて一意です。しかし、露出したデータセット内の異なるコレクション間では重複が存在する可能性があります」とCybernewsの研究者は説明しています。

研究者は、データの総量と整理状況から、さまざまなソースから収集された可能性が高いと指摘しました。これはスクレイピングと呼ばれる一般的な手法で、2021年にさかのぼる過去の漏えいが含まれている可能性もあります。

データの所有者は誰で、なぜ危険なのか

最終的な所有者は未確認のままですが、追加の調査で有力な手がかりが見つかりました。データベースには、リードジェネレーション企業（企業が見込み顧客を見つけるのを支援し、数億人規模のプロフェッショナルにアクセスできる企業）に属することを示唆するウェブリンクが含まれており、これは漏えいしたコレクションで見つかったレコード数とも密接に一致します。

「ただし、チームはこの漏えいを当該企業に帰属させない権利を留保します。漏えいにその企業が登場しているのは、データの真の所有者によって同社のデータベースがスクレイピングされたことを示している可能性があります」とCybernewsの研究者は指摘しました。

ここでの最大の危険は、このような大規模で構造化されたデータセットが犯罪者にとって宝の山であることです。これほど詳細な情報があれば、悪意ある攻撃者は、フィッシング（情報をだまし取る行為）や、CEO詐欺（経営幹部になりすます行為）など、一般に見抜きにくい高度にパーソナライズされた詐欺を自動化できます。

研究者は、これらの記録が、サイバー犯罪者が大規模で検索可能なデータベースを作成するための強固な基盤となり、大企業の従業員を含む高価値ターゲットへの攻撃を容易にし得ると結論づけています。そのため、プロフェッショナルは常に強力で一意のパスワードを使用し、二要素認証（2FA）を有効にし、セキュリティ上の弱点を修正するためにソフトウェアを最新の状態に保つ必要があります。

以下は、9つすべてのコレクションにおけるレコード数の内訳です。

• people – 169,061,357件（3.95 TB）
• profiles – 1,135,462,992件（5.85 TB）
• sitemap – 163,765,524件（20.22 GB）
• intent – 2,054,410,607件（604.76 GB）
• companies – 17,302,088件（72.9 GB）
• intent_archive – 2,073,723件（620 MB）
• address_cache – 8,126,667件（26.78 GB）
• unique_profiles – 732,412,172件（5.63 TB）
• company_sitemap – 17,301,617件（3.76 GB）