開発者のうっかりミスで、数百万人分の個人情報が「丸裸」に

　米国時間9日、社会保障番号を含む詳細な個人情報が保管された機密性の高いデータベースが、数時間にわたって、インターネットからアクセスできる状態で放置された。原因は開発者のミスだという。

　このデータベースは、警察や信用調査期間、私立探偵などがよく利用するもので、ウェブページ上にある簡単な検索フォームを使って情報にアクセスできる。同サービスを提供するLocatePlus.comによると、このデータベースには、数百万人分の氏名と、社会保障番号、通話記録、そして住民票などの公文書が納められているという。

　LocatePlusの最高経営責任者（CEO）、Jon Latorellaは、「ほんのわずかな情報漏洩に過ぎない。情報の重要度は、最下位もしくは下から2番目程度のものだった」と説明している。

　LocatePlusでは太平洋標準時の午前10時ごろ、同データベースへのパブリックアクセスを遮断した。同社の話では、このデータベースにはおそらく数百件のクエリがあったが、そのうちの95％は明らかに漏洩を検知したセキュリティ研究者によるものだったという。

　Latorellaによると、同データベース情報をワイヤレスデバイスからアクセス可能にするアプリケーションの開発中に、ある開発者がモバイルサービスをテストするため、一定範囲のインターネットアドレスからのアクセスを有効にしてしまったのが原因だという。この変更によって、一般のネットユーザーがこのデータベースへアクセスできるようになってしまった。

　LocatePlusでは、この事件について調査を進めているところだとLatorellaは語った。同氏は、このデータベースサービス周辺でセキュリティ侵害があったわけでないことを強調している。さらに、同データベースはユーザーのインターネットアドレスのログを記録しており、同社にはだれがデータにアクセスしたのかが分かるようになっている。

　このデータベースが一般ユーザーからアクセス可能になってしまったことは、このような情報をインターネット上に置くことに伴う固有の危険性を浮き彫りにしている。ほんのわずかな不手際でも、データの流出につながるからだ。

　セキュリティ用ソフトウェアを開発するSymantecでエンジニアリング担当シニアディレクターを務めるAlfred Hugerは、「控えめに言っても、少し不安になる出来事だ。これだけ重要な情報に、このように自由にアクセスできてしまうと、個人情報の盗難が横行する」と語った。

　Symantecのセキュリティアナリストたちは、だれかがIRCで同データベースのアドレスを開示したことで、この問題を発見し、FBIとCNET News.comへ通報した。LocatePlusが事件を知らされたのはその直後だった。