約10億人の中国住民に関する情報を含む膨大なデータの保管は、史上最大の個人情報漏洩の一つとなる可能性がある。
漏洩したデータの一部は先週、サイバー犯罪関連の有名フォーラムに、キャッシュを10ビットコイン(約20万ドル)で販売する人物から公開され、アリババのクラウドに保存されている上海警察のデータベースから盗み出されたとされている。
侵害の詳細は依然として不明ですが、データの一部は本物であることが確認されており、少なくとも一部のデータは本物であることが示唆されています。データの出所や、動機が不明な闇取引業者の手に渡った経緯は依然として不明です。
言論や表現が厳しく規制され、インターネットへのアクセスが検閲され、厳しく制限されている中国本土では、この違反疑惑に関するニュースはほとんど報道されていない。
この情報漏洩が本物であれば、世界最大かつ最も広範囲に及ぶ中国の監視国家の規模の大きさ、そして北京がそのデータを安全に保つ能力について疑問が生じる。
これまでに学んだことは次のとおりです。
データはどうやって漏洩したのですか?
サイバー犯罪フォーラムに既に削除されている投稿で、販売者は、中国の巨大eコマース企業アリババのクラウドコンピューティング部門がホストするクラウドストレージサーバーからデータをダウンロードしたと主張していた。TechCrunchが月曜日にアリババに連絡を取ったところ、同社はこの主張について調査中であると述べた。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
データの漏洩経路は不明瞭ですが、専門家は、データベースが2021年4月以降、人為的なミスで設定ミスが発生し、発見された可能性があると述べています。このことから、データベースの認証情報が2020年に中国の開発者向けサイトに掲載された技術ブログ記事の一部として誤って公開され、後に警察データベースから10億件の記録を抜き出すために使用されたという主張は、パスワードなしでアクセスできたため、否定されるようです。
ウクライナのセキュリティ研究者ボブ・ディアチェンコ氏は、TechCrunchに対し、自身の監視記録によると、このデータベースは4月下旬にKibanaダッシュボード(巨大なElasticsearchデータベースの可視化と検索に用いられるウェブベースのソフトウェア)を通じても公開されていたと語った。もしデータベースがパスワードを必要としていなかったとすれば、ウェブアドレスさえ知っていれば誰でもデータにアクセスできた可能性がある。
セキュリティ研究者は、不注意で公開されたデータベースやその他の機密データを探すために、インターネットを頻繁にスキャンします。これは、セキュリティ確保に協力している企業から提供される懸賞金を受け取るためです。しかし、脅威アクターも同様のスキャンを実行し、多くの場合、公開されたデータベースからデータをコピーし、それを削除して、身代金と引き換えにデータを返すことを目的とします。これは近年、ゴミ箱漁りを目的とする犯罪者がますます頻繁に用いる手口です。ディアチェンコ氏によると、今回のケースもまさにその通りで、悪意のあるアクターが公開データベースを発見、侵入、削除し、返還と引き換えに10ビットコインを要求する身代金要求のメモを残したとのことです。
「私の仮説は、身代金要求のメールが通用せず、脅威アクターは別の場所で金銭を得ることにしたということです。あるいは、別の悪意あるアクターがデータを見つけ、それを売りに出すことにしたのかもしれません」とディアチェンコ氏は述べた。
販売者や、データがオンライン上に流出した理由についてはほとんど分かっていません。サイバー犯罪フォーラムやダークウェブで大量の個人データが売られているのは珍しくありませんが、これほど機密性の高い、あるいはこれほど大量のデータが売られているのは稀です。
データはどのようになっているのでしょうか?
TechCrunch は、販売者がアップロードしたデータのより大規模なサンプルを調査しました。このサンプルには、それぞれ 250,000 件の個別レコードを含む 3 つのファイル (合計約 500 メガバイト) が含まれていました。
データ自体はElasticsearchデータベースの標準ファイル形式であるJSONでフォーマットされているため、読み取りと分析が容易です。データベースのフォーマットから、複数のデータソースから情報を単純に集約して作成されたものではなく、綿密に管理されダウンロードされたことが示唆されます。これは、情報販売業者やデータブローカーが一般的に用いる手法です。ただし、一部のデータは、フードデリバリーの注文など、外部ソースから取得された可能性があります。
また、データが本物である可能性が高いのは、データのサイズが非常に大きいことと、詳細レベルが偽造しにくい(不可能ではない)ことである。
TechCrunchは中国語で書かれた警察の記録を翻訳し、個人を特定できる情報を削除した。
ファイルには、1995年から2019年まで遡る詳細な警察報告書が含まれているようで、氏名、住所、電話番号、身分証明書番号、性別、そして警察が出動した理由などが記載されている。TechCrunchが確認した記録には、事件発生場所や警察報告書が作成された場所の詳細な座標、そして報告書を作成した情報提供者の氏名が含まれており、これらは各記録に記載されている正確な住所と一致する。また、個人の人種や民族も記載されている。(中国政府は100万人以上の自国民を投獄しており、その多くはウイグル族やカザフ族などのイスラム系少数民族であり、バイデン政権はこれを「ジェノサイド」と宣言している。)
記録には、暴力行為を伴う深刻な犯罪から、クレジットカード詐欺、インターネット詐欺、中国では違法とされている賭博行為といった比較的平凡な犯罪まで、様々な告発や犯罪容疑が含まれています。TechCrunchが確認した複数の記録には、中国の検閲システムによってブロックされ、中国では違法とされているサイトにアクセスするために使われるVPN(仮想プライベートネットワーク)の使用を警察が取り締まっているという内容の記録がいくつかありました。ある記録では、上海在住の男性がVPNを使って中国で禁止されているTwitterに政府批判のコメントを投稿したとして告発されたことが示されています。その後、この人物がどうなったかは不明です。
データには、同じサーバーに保存されている写真の完全なウェブアドレスも含まれていました。執筆時点ではいずれもアクセスできませんでしたが、関連データには、個人の居住証明書や出国時のパスポートなど、アップロードされたものが何であるかが示されている場合が多くあります。これらのウェブアドレスは、アリババのクラウドサービスがファイルを保存する方法と一致する形式で保存されています。
私たちが調べた記録の多くには、データに記載されている生年月日や年齢に基づくと、子供に関する情報が含まれているようでした。
中国政府からの(可能性は低いが)確認がなければ、販売者の主張が真実であり、データが上海警察から入手されたものであるかどうかを確実に知ることは難しい。ウォール・ストリート・ジャーナル、ニューヨーク・タイムズ、CNNは、データベースで情報が見つかった個人に電話をかけ、データの一部を検証し、その信憑性を裏付けている。
影響は何でしょうか?
この侵害が合法であると証明されれば、北京にとって大きな損害となる可能性があり、政府のサイバーセキュリティ対策や、侵害が個人に与える影響について疑問が生じる。
これは、中国が個人データ保護を強化している時期に当たる。昨年9月、中国は個人情報保護法を可決した。これは同国初の包括的なプライバシーおよびデータ保護法であり、欧州のGDPR(一般データ保護規則)の中国版と広く見なされている。この法律は企業による個人データの収集方法を制限しており、中国の大手IT企業の広告事業に広範な影響を及ぼすと予想されているが、中国の広範な監視能力を構成する政府機関や部署については広範な例外を認めている。
中国政府は既に、この情報漏洩疑惑に関するニュースを検閲していると報じられており、中国のメッセージアプリ「WeChat」と「Weibo」は「データ漏洩」や「データベース侵害」といったメッセージや言及をブロックしている。中国政府はこの情報漏洩についてまだコメントしていない。
中国住民の膨大なデータがパスワードなしでインターネット上に公開されたというセキュリティ上の欠陥は、今回が初めてではない。2019年には、TechCrunchが中国のスマートシティ施設から近隣住民の顔認識データベースの内容が流出したと報じた。
中国がデータ保護法を可決
この記者への連絡は、Signal および WhatsApp(+1 646-755-8849)またはメール([email protected])で受け付けています。
