Facebookをはじめとする企業が個人情報の利用理由の説明を求められる中、ユーザーのプライバシーと企業の広告販売との二律背反が引き続き話題になっています。

しかし、これは最近の傾向ではなく、企業は長年にわたり、成長と収益を追求するために個人情報の漏洩を繰り返してきたのです。ここでは、データ収集**によって個人情報が危険にさらされる、注目すべき状況を紹介します。

1localblox、4800万件のソーシャルアカウントを公開

ソーシャルメディアデータアグリゲーターのLocalBloxは、最近、悪い意味で話題になっています。これは、サイバーセキュリティ企業のUpGuardが、LocalBloxが4800万件のアカウントからデータを流出させたことを発見した後のことです。

UpGuard Cyber Riskチームは、個人およびビジネスデータ検索サービスLocalBloxの情報を含むクラウドリポジトリが公にアクセスされ、複数のソースから収集およびスクレイピングされた数千万人分の4800万の詳細な個人情報記録が公開されたことを確認した」と述べています。"報告書に記載されています。

しかし、流出したデータには、ソーシャルメディアの情報だけでなく、それ以外のものも含まれていました。より多くの個人情報が含まれています。公開されているデータには、実名、住所、生年月日など、さまざまなものが含まれています。これに加えて、ユーザーデータには、LinkedIn、Facebook、Twitterなどの各種ネットワークの詳細が含まれます。

アップガードが指摘するように、犯罪者はこのデータを、ソーシャルエンジニアリングによるフィッシングの試みと攻撃、社会的操作、個人情報の盗難など、さまざまな詐欺に利用しています。

2 米国有権者1億9800万人のデータが流出

2017年、共和党全国委員会（RNC）が雇ったデータ会社が、米国内の登録有権者2億人のうちほぼ全員のデータを流出させた。

Deep Root Analyticsという会社は、アメリカの有権者の個人情報をもとに、個人データを提供しています。このデータ収集のために、ターゲットポイントコンサルティング社、データトラスト社の2社と連携しています。

そのため、名前、住所、電話番号などの情報収集や、人種や宗教を予測するモデルなどが広く普及しています。

この情報漏洩は、Deep Root Analyticsに対する集団訴訟に発展し、結局、安全でないクラウドサーバー上の1.1テラバイト以上のデータが流出したことになります。

3.スパマーによる14億人のユーザーデータの流出

データ収集会社は合法ですが、すべてのデータハーベスターが法律の範囲内で仕事をしているわけではありません。その一例が、10億人以上のユーザーのデータを誤って漏洩させてしまった巨大な違法スパム企業、City River Media（CRM）である。

今回の情報流出では、実名、ユーザーのIPアドレス、場合によっては物理的な住所など、14億件のメールアカウントが流出しました。

なぜ、このようなことになったのか？MacKeeper Security Research Center、CSOOnline、Spamhausの調査員によると、Rsyncバックアップの不適切な設定により、データが攻撃されやすくなるとのことです。

MacKeeperのクリス・ビッカリーは、CRMのHipchatログ、ドメイン登録記録、会計詳細、インフラ計画、制作メモ、スクリプト、ビジネス提携にアクセスすることができました。そして、その内容を当局に引き渡した。

しかし、このような会社は毎日のように現れるので、スパムメールから自分のメールアドレスを守るための予防策を講じる必要があります。

4grindr、ユーザーのHIV感染状況を公開

流出した個人情報のすべてが、セキュリティ違反や設定ミスの結果であるとは限りません。FacebookやCambridge Analyticaに見られるように、サービスやアプリケーションがソーシャルユーザーからデータを取得し、それを第三者に提供することがあります。

アレクサンドル・コーガンは、Facebookの利用規約に違反してケンブリッジ・アナリティカにデータを引き渡した。しかし、当時収集されたデータの多くは、FacebookのポリシーやAPIの範囲内のものでした。

同様に、第三者がGrindrユーザーのHIVステータスにアクセスできることを知ったユーザーは、これがLGBT***の定石であることを知ったのです。このデータには、ユーザーのGPS位置情報、電話番号、電子メールアドレスも含まれていました。

ユーザーからは「プライバシーを侵害する重大な行為だ」という声が上がっていた。同社は、特に機密性の高い医療情報を、Apptimize社およびLocalytics社の2社と共有しています。

Grindrは、データを**したり、開示したりしないことをユーザーに保証しています。その代わり、アプリを最適化するためのデータを共有したのです。しかし、その後、同社はユーザーのHIV感染状況を第三者と共有しないことを発表しました。

セキュリティの専門家によると、このような機密情報を第三者と共有することは、情報漏洩や侵害の可能性を高めると言われています。幸いなことに、オンラインアカウントがハッキングされたり、危険にさらされているかどうかを確認するのに役立つオンラインツールがあります。

5 リーク記録はこの国の人口を上回る

南アフリカで起きた最大のデータ流出は、流出した個人記録の数が同国の全人口を上回るほど大規模なものでした。この情報流出には、国内のほとんどの人の個人情報だけでなく、故人も含まれていました。データには1200万人以上の未成年者のIDカード番号まで含まれていた。

合計で6,000万件のユニークなID番号と、連絡先やフルネームなどの個人情報が流出したのです。特に、南アフリカ国民のID番号は、誕生日、性別、年齢などの個人情報を収集するために使用できるため、今回の侵害は深刻でした。犯罪者は、これらの番号を利用して、個人情報を盗んだり、詐欺を働いたりすることがよくあります。

では、最終的にこのデータはどのようにして流出したのでしょうか。Mastercard.sqlという名前のデータベースのバックアップは、一般に公開されている安全でないサーバーで発見されました。サイバーセキュリティの専門家であるHaveIBeenPwned.comのウェブサイトTroy Hunterは、少なくとも7ヶ月間、このデータが公開されていることを知りました。

ドラコレという会社がそのデータを集約し、データベース化した。しかし、そのクライアントの1つであるjigsawholdingsは、安全でないサーバーを使ってデータを公開しました。

6twitter共有データ会社ファイル

米国のデータ管理会社Modern Business Soluti***は、2016年に世論の逆風にさらされたことに気づきました。そのセキュリティ対策の甘さから、5,800万人の消費者記録が流出したのです。

ハッカーは、安全でないMongoDBデータベースのおかげで、何百万人もの人々にアクセスし、情報を共有することができました。ハッカーはデータベースをダウンロードして公開サイトにアップロードし、そのリンクをTwitterで共有しました。MongoDBデータベースの設定ミスは、ハッカーが無防備な人々から情報を盗む数多くの方法のうちの1つです。

この例では、氏名、生年月日、電子メールアドレス、住所、役職、電話番号、車両データ、IPアドレスが開示されます。

7 データプロキシから数百万人のIDが盗まれる

データ収集企業が提起するプライバシーに関する懸念は、以前からあった。2013年にも、複数の大手データエージェントのサーバーにハッカーがアクセスしたことが発覚し、データハーベスティングの危険性がクローズアップされました。これにより、何百万人ものアメリカ人の情報を盗むことができたのです。

ハッカーは、設定ミスしたサーバー、セキュリティの脆弱性、安全でないデータベースを通じてこれらのデータに大量にアクセスし、SSNDOBというウェブサイト（それ自体が**盗まれた情報のデータアグリゲーター）にアップロードしたのです。

盗まれたデータには、社会保障番号、クレジット記録、身元調査、生年月日、住所などの個人情報が含まれていました。ハクティビストの10代がSSNDOBを侵害したとき、彼らは記録の広さを知った。カニエ・ウェスト、ジェイ・Z、ビヨンセなどの有名人や、ミシェル・オバマ大統領夫人（当時）などの著名人の住所や個人情報まで入手可能だったのです。

SSNDOBボットネットは、LexisNexis、Dun&Bradstreet、Kroll Background America, Inc.などの大手データエージェントのサーバーにアクセスした。 結局FBIがこの件に関する調査を開始した。

8alteryx社、米国1億2300万世帯のデータを流出

2017年、アップガードは、データ分析会社Alteryxが、安全が確保されていないデータリポジトリを通じて、米国の1億2300万世帯のデータを流出させていたことを発見しました。

Alteryxのパートナーの1つは消費者信用調査機関のExperianであるため、公開された情報は特にセンシティブです。このリポジトリには、自宅の住所、連絡先、住宅ローンの詳細、金融履歴、購入履歴などが含まれています。この情報は、Amazon Web Servicesのアカウントを持っている人なら誰でもアクセスすることができます。

アップガードは、このデータを「アメリカの消費者の生活を高度に侵入的に垣間見ることができる」と評しています。幸いなことに、このデータはもはや一般に公開されていませんが、こうした情報漏えいの多くがそうであるように、どれだけの人が偶然に機密情報を入手し、ダウンロードしたかは不明です。

また、今回の情報漏洩は、企業がいかに多くの個人情報を収集しているかを消費者に再認識させるものでした。単純なインターネット閲覧でも、ウェブサイトから個人情報にアクセスされる可能性があります。

9 フェイスブックのクイズがまたもやユーザー情報漏洩の結果に

Facebookのユーザーは、Cambridge Analyticaのスキャンダルでまだ動揺しています。しかし、Facebookのクイズを使ってデータを取得している企業は、ケンブリッジ・アナリティカだけではないようだ。

ケンブリッジ大学の研究者が「My Personality」というクイズを考案したと「New Scientist」が報じています。クイズは参加者からデータを収集し、研究者がオンラインデータベースにアップロードします。他の研究機関の何百人もの研究者が研究目的でデータにアクセスすることができます。

しかし、セキュリティ対策が不十分だったため、このデータは最大で4年間も露出していました。データへのアクセスは、登録された共同作業者のログインによってのみ可能ですが、作業者の認証情報が公開されているため、安全性が損なわれています。

"過去4年間、有効なユーザー名とパスワードは、1つのネットワークから検索可能なオンライン上で公開されています。データセットにアクセスしたい人は、1分もかからずにダウンロードするためのキーを見つけることができます。

このデータには、約300万人のFacebookユーザーの個人情報と、心理テストの結果が含まれています。

10 データベースに3,300万人の従業員が流出

2017年、US**と会社員のダンブラッド通りのデータベースが漏洩していたことが一般に発覚しました。これによって、氏名、役職、職務、給与、連絡先、電子メールアドレスなどの詳細が含まれる3,300万件以上の記録が流出しました。

Dun&Bradstreetに聞き覚えがあるとすれば、それは彼らのデータベースがSSNDOBコレクション（前述）に含まれているからです。従業員データを集計し、市場関係者**に記録を提供している同社は、流出の責任を否定しています。データベースを作成したのは同社だが、流出元は数千人の顧客の1人である可能性が高い。

Troy Hunter氏は、ある情報筋からデータベースを送られ、侵入を発見した。ハンター氏は、国防省の職員の記録がデータの大部分を占めていることを指摘した。情報アナリスト、化学エンジニア、兵士、小隊長などの役職がデータ上で特定されるため、特定の役職への潜入や攻撃を目的とする外国機関にとって有益な情報となります。

ハント氏は、ダンブラッド街流出事件に関する報告書の中で、「私たちは個人データのコントロールを失い、（ティム・）バーナーズ＝リーが数日前に述べたように、共有したくないデータを企業にフィードバックする方法を通常持っていない」と述べている。.

情報漏えいの被害を受けたほとんどの人は、会社が自分のデータを慎重に集計したリスト**を集めていたことに気づいていないかもしれません。

会社はあなたが思っている以上にあなたのことを知っています

このような事件の多くは、情報漏洩の被害者の情報が公の場に出てしまったため、被害者を責めることができません。そのため、企業はさまざまなサービスや記録からデータを取得しています。消費者は、企業がこのデータを第三者と共有していることを知らないことが多い。

そのため、利用するサービスのプライバシーポリシーを確認することは重要ですし、影響を及ぼす可能性のある脆弱性についても把握しておく必要があります。

結局のところ、企業はあなたが思っている以上にあなたのことを知っているのです。しかし、データを保護するためにもっと積極的な役割を果たすことができます。オンライン上でプライバシーを保護する方法についてのガイドをぜひご覧ください。

写真提供：AllaSerebrina/Depositphotos