フィリピン選管がハッキング被害　5500万人超の個人情報が流出

May 2, 2016 12:00
by 『Security Affairs』

先日、トルコ国民5000万人以上のデータを含むデータベースをオンラインで入手できるというニュースをお伝えした。しかし今ITセキュリティコミュニティーでは、大規模なデータ流出によって5500万人以上の有権者の記録が公開されるという、フィリピンで起こった別の派手なデータ流出が話題となっている。このデータ流出は、フィリピンで5月9日に予定されている国政選挙の数週間前に発生した。

2016年3月27日、Anonymous Philippinesがフィリピン選挙管理委員会(COMELEC) のウェブサイトをハッキングし、サイトを書き換えた。しかし別のハッカーグループLulzSec Pilipinas が、COMELECのデータベース全体をネット上に公開したのだ。

Anonymous Philippinesは、投票数集計機器のセキュリティを改善するようCOMELECを警告した。

初めのうちはCOMELECの職員はデータ流出を軽視し、機密情報は漏洩していないと主張していた。

「我々のウェブサイトのデータベースは、誰でもアクセスできるものであるということを強調しておきたい」とCOMELECのスポークスマンJames　Jimene氏は断言した。「データベースには機密情報は含まれていなかった。選挙、特に集計結果には別のウェブサイトを使用する予定だ。このサイトは十分に保護されている」と彼は付け加えた。
このデータには多くのデリケートな情報が含まれていた。個人情報やパスポート情報、指紋データなどだ。そして残念なことに、全ての情報が暗号化されていたわけではなかった。

LulzSec Pilipinasは、COMELECのウェブサイトから合計で355個のテーブルからなる16のデータベースを公開した。

「COMELECのデータベース全体が漏洩するという大規模なデータ流出によって、フィリピンで登録された有権者は皆、詐欺やその他のリスクの影響を受けやすい状況である」と今回のケースを調査するTrend Microは述べた。

「我々の調査によると、流出したデータには130万の海外のフィリピン人有権者のパスポート番号や有効期限といった記録が含まれていた。心配なのは、この極めて重要なデータがただの平文で保存され、誰でもアクセスできる状態であったことである。興味深いことに、我々は1580万という膨大な数の指紋データや2010年の選挙以降委員会を管理する人物のリストも発見した」

これは、政府が関連するデータ流出の中で最大規模のものである。米人事管理局（OPM）のハッキングでは2150万人の記録が正体不明の相手に盗まれたが、今回流出した記録はその倍以上となった。

そして現在……　5500万人以上の有権者が、サイバー攻撃のリスクに晒されている。サイバー犯罪者や国家が支援するハッカーが、詐欺や諜報活動、恐喝といった多種多様な悪意ある活動を実行するためにこの情報を悪用する可能性もある。

「以前のデータ流出のケースでは、銀行口座にアクセスしたり、特定の人物の詳細情報を収集するために盗まれたデータが使用されている。このような情報は、スピアフィッシングメールやビジネスメール詐欺、脅迫メール、恐喝等々に活用されている」とTrendMicroは結んだ。
　
翻訳：編集部
原文：Anonymous Philippines hacked the COMELEC. It is the biggest government related data breach
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。