中国でローンアプリを利用してお金を借りた人たちの多くが、結果的にお金と引き換えにプライバシーを提供する状況に陥っていたことが判明した。これは460万台を超えるデバイスから収集された個人データのデータベースが、オンラインで公開状態になっていたことが、あるセキュリティ研究者によって明かされたものだ。これらのデータには、位置情報履歴、借り入れの記録、個人の金融情報、連絡先などが含まれていた。
提供:Nochkhun / Getty Images
このデータベースに保存されていたデータは899GBにものぼり、中国で公開されている100本以上のローン関連アプリから収集された情報だったと、今回の情報流出を発見した独立系のセキュリティ研究者、Anurag Sen氏は述べている。これらのアプリがユーザーの行動に関するデータを収集し、セキュアでないサーバーにリアルタイムで保存していたため、この閲覧可能な状態にあったデータベースは拡大を続けていたという。
Sen氏によれば、同氏が属するチームは現地時間7月11日にサーバーをホストしていたAlibabaにこの情報を知らせたが、データベースの所有者とは連絡がつかなかったという。保存されていたデータの種類から考えると、このデータベースはモバイルアプリのマーケティングを行う代理店が所有していた可能性が高いと、Sen氏は述べている。
閲覧可能な状態にあった大量のデータには、ユーザーのリアルタイム位置情報など、数百万人の中国在住者に関する貴重な情報が含まれていた。ユーザーがアプリにログインするたびに、デバイスの所在地の緯度と経度がデータベースに記録されていたという。攻撃者がこの公開状態にあったサーバーへのアクセス権を獲得すれば、事実上、数百万の人々をリアルタイムで追跡することが可能だった。また、ユーザーの連絡先リストやクレジットカード情報も取得できたはずだ。
公開されていたデータベースにパスワードのほか、デバイスの所在地の緯度と経度などが含まれていた
提供:Safety Detective
「悪意を持った攻撃者なら、電話番号や住所などの情報を利用してその人物になりすますこともできる。そればかりか、深刻なケースでは相手に身体的危害を加えることさえ考えられる」とSen氏は電子メールで述べている。「最も大きなリスクとしては、政府や企業による監視行為(中国のような国ではこうしたリスクはいっそう高まる)なども考えられる。位置情報履歴や通話記録、テキストメッセージの送受信記録などが含まれているからだ」(Sen氏)
Alibabaがこのサーバーをオフラインにしたのは、米CNETがこの件について問い合わせたあとのことだった。したがって、このサーバーはSen氏が最初に問題を発見した6月30日以降も、少なくとも2週間は稼働していたことになる。公開状態にあったこのサーバーのデータベースには、ユーザーの氏名、生年月日、住所、電話番号、借り入れの詳細、パスワードも記録されていた。
中国では手っ取り早くお金を借りる手段として、このようなアプリが使われている。その一方で、あるアプリでは融資の承認プロセスにおいて、1200件以上のデータポイントを収集しているとThe Wall Street Journalは報じている。アプリベースのローンの融資額はこの4年間で急増しており、2017年には2015年の5倍近い3500億元(約5兆4800億円)に達したという。また、中国で使われているローンアプリの中には、ユーザーの位置情報をリアルタイムで確認できる機能を債権回収会社に提供しているものもある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。