セキュリティ研究者が、企業関連のレコード43億件を含む無防備なMongoDBデータベースを発見した。
giragraphic – shutterstock.com
Cybernewsは最近、研究者が容量16テラバイトの保護されていないMongoDBデータベースを発見したと報じた。これにより、人物および職業に関する約43億件のデータが露出していたという。
データセットにはどのような情報が含まれているのか?
研究チームは合計9つのデータベース・コレクションを発見した。少なくともそのうち3つのコレクションには個人データが含まれていた。具体的には次のとおり:
- 氏名(フルネーム)、
- メールアドレスおよび電話番号、
- LinkedInのURLおよびプロフィール名、
- 職種、勤務先情報、職務経歴、
- 学歴、学位、認定資格
- 位置情報、
- 言語、スキル、役割、
- ソーシャルメディアのアカウント、ならびに
- 画像URL(固有のプロフィール)。
Cybernewsによると、データベースの構造から、このデータベースはLinkedInのスクレイピングによって作成されたことが示唆されるという。研究報告では、LinkedInデータの年代を特定するのは難しいとされている。タイムスタンプから、データセットが2025年に収集または更新されたことが示されている。
ただし研究者らは、一部のデータはすでに数年前のものである可能性があるとみている。大規模なLinkedIn流出事件に由来する可能性もある。2021年には、サイバー犯罪者が数億件のLinkedInデータセットを入手したと主張していた。
現時点では、このデータベースの所有者は不明だ。とはいえCybernewsによれば、リードジェネレーション分野の企業を示す手がかりがあるという。データベースがどれほどの期間、公開状態だったのかも分かっていない。運営者が保護措置を講じたのは、研究者が2025年11月25日に漏えいを発見してから2日後だった。
なぜこのデータ漏えいは危険なのか?
Cybernewsは、このような大規模な連絡先データベースは企業の時間を大幅に節約できる一方で、大きなセキュリティリスクも伴うと指摘する。「保護されないままであれば、たった1件の露出したレコードでも、数百万人のユーザーのプライバシーを危険にさらし得る。」
個人および企業関連情報を含む保護されていないデータベースは、標的型フィッシング攻撃を仕掛けるための魅力的な標的となる。さらに、データセットからCEOを選び出して詐欺攻撃を行うことも可能だ。加えて、従業員の個人データは、標的型のソーシャルエンジニアリング攻撃にも悪用され得る。
翻訳元: https://www.csoonline.com/article/4108632/datenbank-mit-43-milliarden-datensatzen-offen-im-netz.html
