人気キーボードアプリ「ai.type」、ユーザー3000万人の個人情報が露呈 MongoDBの設定ミス
ai.typeでは端末に保存されている全データへのフルアクセスを求められ、連絡先から入力内容まであらゆる情報が収集されていたと思われる。
AndroidとiOS向けのキーボードアプリ「ai.type」のユーザー3000万人あまりの個人情報が、誰にでもアクセスできる状態でインターネットに露呈されていたことが分かった。米MacKeeper傘下のKromtech Security Centerが12月5日のブログで伝えた。
それによると、ai.typeはイスラエルの新興企業が提供するキーボードアプリで、Android版はGoogle Playストアから約4000万回もダウンロードされ、ユーザーは増え続けている。
ところが、ai.typeのものと思われるMongoDBの設定ミスが原因で、ai.typeのユーザー3129万3959人の個人情報が、インターネット経由で誰にでもアクセスできる状態になっていたという。問題のデータベースには、電話番号や持ち主のフルネーム、使用言語、居住国、Facebookなどソーシャルメディアのプロフィール関連情報、連絡先情報など、膨大な量の情報が記録されていた。
研究者がai.typeをiPhoneにインストールして調べたところ、同アプリではキーボードの全データを含めて、端末に保存されている全てのデータへのフルアクセスを求められることが分かった。流出したデータベースの内容から判断すると、連絡先から入力内容まであらゆる情報が収集されていたらしいと推測している。
KromtechはMongoDBについても、「デフォルトの設定で、データベースの閲覧や情報のダウンロード、さらには保存された情報の消去などが、インターネット接続さえあれば誰にでもできてしまうという欠陥がある」と解説する。
「理論的には、ai.typeの仮想キーボードをダウンロードしてインストールした人は誰であれ、自分のスマートフォンのデータがオンラインで露呈されていた可能性がある」とKromtechは述べ、こうした個人情報は詐欺やなりすましなどの犯罪に利用される恐れがあると指摘。
「デバイスに対するフルアクセス権限を取得する製品やサービスを無料、あるいは割引価格で入手するのと引き換えに、コンシューマーが自分のデータを提供する価値は本当にあるのかどうかという疑問を改めて生じさせる」と警鐘を鳴らしている。
関連記事
HadoopやMongoDBのデータ消去被害が続出、世界各国で
「適切な認証なしにインターネットに直接露呈されているデータベースサービスは、データを盗まれたり、消去されたりする危険がある」とセキュリティ企業は警鐘を鳴らしている。
MongoDBのアップデート、公開後も多くの組織で脆弱性放置
MongoDBの脆弱性を修正する更新版が3月17日にリリースされたにもかかわらず、多くの組織が対応しておらず、攻撃の標的にされる恐れがあるという。
MongoDBへの不審なアクセスに注意、不注意で意図しない公開も
オープンソースのMongoDBを利用するシステムを探索する不審なアクセスが多数観測され、警察庁が注意を呼び掛けている。
ビッグデータで使われるNoSQLとセキュリティ課題
動画やソーシャルデータに代表される非構造化データが急増し、バッチ処理からリアルタイム処理へと進展する中で、NoSQL型のデータベースに注目が集まっている。企業のデータベース管理者はどのようなセキュリティリスクに注意したらよいのだろうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。