英防犯企業で100万人分のデータが公開状態、生体認証情報も露出
パスワードならいつでも変更できるが、指紋や顔となると別問題だ。
100万人分を超える指紋データや、顔認識情報、暗号化されていない名前とパスワード、その他の個人情報を含むデータベースがインターネット上で公開され、外部からアクセス可能な状態になっていたことが、英国で明らかになった。ガーディアン紙が報じている。データベースの運営会社であるスプリーマ(Suprema)は、英国の警察や銀行、民間軍事会社も利用している防犯会社だ。
データ漏洩は衝撃的な頻度で発生している。特に近年、企業がクラウドに移行する中、さまざまな設定ミスや不手際が原因で、大量のプライベートなデータがインターネット上で誰でも見られる状態のまま、晒される事件が発生してきた。
今回のインシデントがこれまでと異なるのは、個人データやパスワードに加えて、指紋や顔認識情報などの生体認証データまで含まれていたことだ。
生体認証の利用がますます拡大する一方で、生体認証データの漏洩リスクは大きな懸念や批判の的となっている。ユーザー名やパスワードであれば数回のクリックで変更できる。しかし、顔は変えられない。それとも、「整形手術」という言葉が脳裏をよぎった人はいるだろうか?
スプリーマは、セキュアな建物内の入室と監視を管理する生体認証ロックシステム「バイオスター( Biostar )2」のサービスを運営している。バイオスターのデータベースのデータが外部からアクセス可能であることは、イスラエルの研究者であるノアム・ロテムとラン・ロカール、サイバーセキュリティ企業であるVPNメンター(vpnMentor)が発見した。
「我々はバイオスター2のデータベースの侵入経路を発見した後、スプリーマに連絡し、調査結果について警告しました。しかし全体を通じて、スプリーマの対応は概してとても非協力的でした。我々は何度もメールで同社に連絡を試みましたが、無駄な努力となりました。最終的にはオフィスに電話しましたが、対応はまたしても消極的でした」と研究者は記している。
公開状態にあったのは、合計2780万人分の記録、23ギガバイトのデータだ。今月に入ってこの件が発見されてから約1週間後、問題は解消された。