- IDMeritは30億件以上のレコードを含むセキュアでないデータベースを保有していた
- 専門家がデータベースを発見し、ロックダウンに成功
- 個人情報が露出したが、影響を受けたユーザーの数は比較的少ない可能性がある
専門家によると、AI搭載のデジタル身分確認ソリューション提供業者であるIDMeritは、機密の顧客情報が満載された膨大なデータベースをロックされていない状態で、公開インターネット上で簡単にアクセスできる状態に保管していたことが明らかになりました。
合計すると、30億件以上のレコードがCybernewsのサイバーセキュリティ研究者によって発見され、最終的にロックダウンされました。
チームによると、1テラバイト以上の容量を持つオープンなMongoDBデータベースを発見し、フルネーム、住所、郵便番号、生年月日、国民ID、電話番号、性別、メールアドレス、通信事業者メタデータ、侵害ステータス、ソーシャルプロフィール注釈などのレコードが含まれていたとのことです。
大規模侵害
複数のレコードが同一人物に属している場合があるため、データベースのサイズが30億人が露出したことを意味するわけではありませんが、流出の規模はまだかなり大規模です。
Cybernewsによると、およそ10億件は機密データを含んでいる可能性が高く、残りの20億件はデータベースログで「おそらくより機密性の低い」ものだとのこと。
このデータベースはグローバルなものでもあり、26カ国の個人のデータが露出しており、米国が最も影響を受けており(200万件以上のレコード)。メキシコ(1億2400万件)とフィリピン(7200万件)がトップ3を占め、ドイツ、イタリア、フランスも顕著な出現を見せており、それぞれ6100万件と5300万件のレコードが流出しています。
「この規模では、下流のリスクにはアカウント乗っ取り、標的型フィッシング、クレジット詐欺、SIMスワップ、長期的なプライバシー侵害が含まれます。業界全体として、このケースは第三者の身分確認ベンダーがいかに重大なインフラとなっており、壊滅的な障害の単一の発生点になる可能性があるかを示しています」とCybernewsは述べています。
カリフォルニアに本拠地を置くIDMeritは、KYC、AML、デジタル身分確認用のAPIベースのソリューションを提供するグローバルな身分確認・不正防止技術企業です。
2025年時点では、約25~50人の従業員で運営しており、拡大するグローバルな顧客基盤にサービスを提供し、年間約290万ドルの収益を生み出しています。同社は2014年に設立され、民間保有のUS技術プロバイダーとして営業しています。
もちろんTikTokでTechRadarをフォローすることもできます。ニュース、レビュー、ビデオ形式でのアンボックスを見ることができ、WhatsAppでも定期的に最新情報をお届けしています。
