求職者など160万人以上のデータが公開状態だった--研究者が発見

　米国時間6月17日に発表された調査結果によると、世界中の160万人以上の求職者などの個人情報（電話番号や希望給与額、求職の意思など）を含む、セキュリティ対策の施されていないデータベースがオンラインで発見されたという。5月に独立系研究者のAnurag Sen氏によって発見されたこのデータベースには、米国やオーストラリア、日本など複数の国の求職者に関する情報が含まれる。

提供：Graphic by Pixabay/Illustration by CNET

　このデータベースの所有者は、インドの人材紹介会社であるTalanton AIとみられる。これらの情報はクラウドサーバー上でプレーンテキストでホストされており、ウェブブラウザーを持っている人なら誰でも、正しいウェブアドレスを入力してアクセスすることができた。

　データベースに記録された名前には、オーストラリア政府やTommy Hilfiger Japan、米連邦捜査局（FBI）のDomestic Security Alliance Council（サイバーセキュリティの脅威に関する情報を政府と共有する官民パートナーシップ）など、知名度の高い組織に勤める人々も含まれるという。

　Sen氏は、Safety Detective（ウイルス対策ソフトウェアのレビューを手がけるイスラエル企業）との契約により、今回の調査結果を発表した。情報の精査に協力したSafety Detectiveの研究者によると、データベースの情報漏えいが原因で、これらの求職者は現在の職場で気まずい立場に置かれるおそれがあるという。さらに、会社の役人になりすましたい詐欺師によって、電話番号や電子メールが悪用される可能性もある。

　このデータはさまざまな情報源から入手されたものとみられ、希望給与額など特定の情報がなければ、知らないうちに追加された人と求職活動をしている人との区別はつかないという。Safety Detectiveは一部の情報を確認し、それが本物であると判断した。

　このようなデータベースの漏えいはハッキングと同じではない。正しいIPアドレスさえあれば、情報にアクセスできるからだ。ハッカーがTalanton AIデータベースの情報にアクセスしたことを示す兆候はないとされる。

　Talanton AIのウェブサイトは完全には機能していないようだ。ホームページのリンクやボタンをクリックしても、404エラーメッセージが表示されるか、あるいは何も起こらない。今回の漏えいについて報告を受けたTalantonの担当者は、その情報を適切な人間と共有すると述べた。

　データベースは、Tata Communicationsが運営するクラウドサーバー上でホストされていた。TataはSafety Detectiveからの報告を受け、このデータベースを非公開にした。