CNET News.comが米国時間3日につかんだ情報によると、検索エンジンのGoogleを使った簡単なクエリで、クレジットカード情報を公開している複数のウェブサイトを見つけだせるという。
この金融情報の一覧には、クレジットカードのデータ以外にも、数百人分のカード保有者の名前、住所、および電話番号が含まれている。Googleで見つかったリスト中のクレジットカードデータは、大半が既に有効期限が切れたもののようだが、リストアップされていた一部の人たちにCNETが電話で確認したところ、なかにはまだ有効なクレジットカードの番号も出ていることが分かった。「Googleハッキング」の最新の例となるこのクエリは、知識のあるウェブユーザーが世界で最も有名な検索エンジンで調べれば、機密性の高い情報さえ見つけだせてしまうことに対して、ますます増大している懸念を浮き彫りにするものだ。
デジタルセキュリティベンダー@Stakeで研究開発を担当するバイスプレジデントのChris Wysopalは、「各自が異なる方法を使っているようだ」と述べ、さらに「本来なら機密にしておくべきデータなのに、設定のミスや窃盗犯によって公開されたものが検索されている」と語った。
Googleには、このようなデータを探し出す方法が豊富に揃っている。サイト全体に金融情報の検索方法が詳しく説明されており、インターネットサーバ上のソフトウェアの脆弱性や無防備なコンフィギュレーションの記述もある。Googleは、強力な検索オプションがあるため、最も多くの人に選ばれるツールになっている。クレジットカード情報検索に便利な、数値範囲指定検索機能などは、他社の検索エンジンにはない。
新規株式公開前の静粛期間を理由に、Googleからコメントを得ることはできなかった。しかし、同社の情報筋は、サイト内に法律や規制に違反するページが見つかったときにアーカイブからそれを削除するウェブマスター用のツールが同社に存在することを明言した。同社は社会保障番号やクレジットカード番号などが含まれるドキュメントの検索結果をだれでも削除依頼できるようにしており、help@google.comまでそのページのリンクを添付して連絡するだけでよい、と情報筋は話している。
ノースキャロライナ州ダラム在住で、皮肉にも金融詐欺対策関連会社に勤務するKeith Ernstは今年初め、データ流出の犠牲者になり、デビットカード番号がこのような一覧で公開されてしまった。Ernstがカードを解約するまでの間、この番号はさまざまな支払いに利用され、なかには盗んだ番号で大学の授業料を支払おうとした留学生もいた。
他人に対する詐欺行為を防止するのが仕事のErnstは、「自分の口座にこのような請求が来ているのを見てかなり取り乱した。問題の当事者になってしまうとは何とも興味深い経験だった」と語っている。
Googleで簡単な検索を行ったところ、Ernstの情報は現在、ほかの百人以上の人々の金融情報と一緒にアラビア語の掲示板に掲載されていることが分かった。Ernstが口座を持っていた信用組合は請求された金額を払い戻してくれたが、同氏はインターネットでの商品購入にはクレジットカードしか使わなくなった。クレジットカードを使った不正請求は銀行口座からすぐには引き落とされないためだ。
金融情報を公開したサイトの捜査状況について、FBIからコメントを得ることはできなかった。こうしたサイトは全世界に分散しているようで、1つ目にはロシアのドメイン名が付き、もう1つはアラビア語で書かれていて、3つ目はオランダに設置されていた。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」