中国でローンアプリのユーザー情報が公開状態に--460万台以上が対象、位置情報も

Alfred Ng (CNET News) 翻訳校正: 佐藤卓 長谷睦 (ガリレオ) 2019年07月18日 12時48分

  • このエントリーをはてなブックマークに追加
  • 印刷

 中国でローンアプリを利用してお金を借りた人たちの多くが、結果的にお金と引き換えにプライバシーを提供する状況に陥っていたことが判明した。これは460万台を超えるデバイスから収集された個人データのデータベースが、オンラインで公開状態になっていたことが、あるセキュリティ研究者によって明かされたものだ。これらのデータには、位置情報履歴、借り入れの記録、個人の金融情報、連絡先などが含まれていた。

提供:Nochkhun / Getty Images
提供:Nochkhun / Getty Images

 このデータベースに保存されていたデータは899GBにものぼり、中国で公開されている100本以上のローン関連アプリから収集された情報だったと、今回の情報流出を発見した独立系のセキュリティ研究者、Anurag Sen氏は述べている。これらのアプリがユーザーの行動に関するデータを収集し、セキュアでないサーバーにリアルタイムで保存していたため、この閲覧可能な状態にあったデータベースは拡大を続けていたという。

 Sen氏によれば、同氏が属するチームは現地時間7月11日にサーバーをホストしていたAlibabaにこの情報を知らせたが、データベースの所有者とは連絡がつかなかったという。保存されていたデータの種類から考えると、このデータベースはモバイルアプリのマーケティングを行う代理店が所有していた可能性が高いと、Sen氏は述べている。

 閲覧可能な状態にあった大量のデータには、ユーザーのリアルタイム位置情報など、数百万人の中国在住者に関する貴重な情報が含まれていた。ユーザーがアプリにログインするたびに、デバイスの所在地の緯度と経度がデータベースに記録されていたという。攻撃者がこの公開状態にあったサーバーへのアクセス権を獲得すれば、事実上、数百万の人々をリアルタイムで追跡することが可能だった。また、ユーザーの連絡先リストやクレジットカード情報も取得できたはずだ。

公開されていたデータベース
公開されていたデータベースにパスワードのほか、デバイスの所在地の緯度と経度などが含まれていた
提供:Safety Detective

 「悪意を持った攻撃者なら、電話番号や住所などの情報を利用してその人物になりすますこともできる。そればかりか、深刻なケースでは相手に身体的危害を加えることさえ考えられる」とSen氏は電子メールで述べている。「最も大きなリスクとしては、政府や企業による監視行為(中国のような国ではこうしたリスクはいっそう高まる)なども考えられる。位置情報履歴や通話記録、テキストメッセージの送受信記録などが含まれているからだ」(Sen氏)

 Alibabaがこのサーバーをオフラインにしたのは、米CNETがこの件について問い合わせたあとのことだった。したがって、このサーバーはSen氏が最初に問題を発見した6月30日以降も、少なくとも2週間は稼働していたことになる。公開状態にあったこのサーバーのデータベースには、ユーザーの氏名、生年月日、住所、電話番号、借り入れの詳細、パスワードも記録されていた。

 中国では手っ取り早くお金を借りる手段として、このようなアプリが使われている。その一方で、あるアプリでは融資の承認プロセスにおいて、1200件以上のデータポイントを収集しているとThe Wall Street Journalは報じている。アプリベースのローンの融資額はこの4年間で急増しており、2017年には2015年の5倍近い3500億元(約5兆4800億円)に達したという。また、中国で使われているローンアプリの中には、ユーザーの位置情報をリアルタイムで確認できる機能を債権回収会社に提供しているものもある。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]