「メール検証サービス」から
メールアドレスと個人情報が大規模流出
セキュリティー研究者たちが2月25日(現地時間)、メール検証サービスの「Verification.io」によって公開されていた、8億900万件のレコードを含む150GBものデータベースを発見した(800+ Million Emails Leaked Online by Email Verification Service - Security Discovery)。
保護されずに放置されていたというデータには、メールアドレスのほか、郵便番号、電話番号、住所、性別、誕生日といった個人情報も含まれていた。また、メールアドレスにひもづけられたFacebookやInstagramなどのアカウント、個人の住宅ローンの金額や、信用情報などのデータも存在していたという。社会保障番号やクレジットカード情報は含まれていなかったとされている。Verifications.ioはこの状態を報告され、即座にオフラインとなった。
流出したデータの数も驚くべきものだが、単に個人のメールアドレスだけでなく、企業の情報なども含まれていた点に注目したい。なぜ、Verifications.ioはこのようなデータを持っているのか?
たとえばマーケティング会社が、顧客に宣伝のメールを送りたいとする。しかし、メールアドレスリストを持っていても、一つ一つのメールアドレスが現在使われているかどうかまではわからない。そこでVerifications.ioを利用し、リスト内のメールアドレスが使われているかどうかを見分けてもらえば、有効なメールアドレスにのみメールを送信できるようになるというわけだ。
今回の事件で、このような大規模なデータ流出が起きたのは、Verifications.ioの顧客データが含まれていた疑いがあるからだ。
この顧客データが流出し、悪意のある攻撃者が入手したらどうなるだろうか。その人物がハッキングを企てていたとしよう。メールアドレスやパスワードのリストを不正に入手したとしても、それら1つ1つを入力して、特定のアカウントにログインしようとするのは相当に手間がかかる作業だ。
しかし、このメールアドレスのリストをVerifications.ioのようなメール検証サービスを利用することで、実際に使われているアドレスだけを選別できるようになるため、「効率よく」ハッキングすることが可能になってしまうだろう。
