Malwarebytesは6月27日(米国時間)、「Driving licences and other official documents leaked by authentication service used by Uber, TikTok, X, and more|Malwarebytes」において、イスラエルに拠点を置く本人確認およびリスク管理企業の「AU10TIX」から本人確認情報が漏洩したと報じた。
AU10TIXの本人確認サービスは、Uber、TikTok、X(旧Twitter)、Fiverr、Coinbase、LinkedIn、Saxo Bankなど多くの企業が利用している。これら企業に身元を証明するために提出した運転免許証などの個人情報が漏洩した可能性がある。
漏洩の原因
高い信頼性を要求するサービスや金融サービスを利用する場合、詐欺の防止や法的拘束力を確実なものにするため、通常は契約(アカウント作成)時に本人確認が行われる。AU10TIXの本人確認サービスはそのような目的のために世界中の多くの企業に利用されている。
AU10TIXの本人確認サービスは、公文書のコピー画像および申請書類の情報などから身元の確認を行う。そのため、AU10TIXには世界中の人々の本人確認情報(公文書のコピー画像や提出書類など)が保管されている。
漏洩を発見した研究者によると、AU10TIXのものとみられる本人確認情報がログプラットフォーム上に公開されていたという。研究者はこのプラットフォームから運転免許証などを含む多くの情報を閲覧できたと報告している。
漏洩の原因は、AU10TIXのネットワークオペレーションセンターのコンピュータが情報窃取マルウェアに感染したからと推測されている。Malwarebytesは漏洩した個人情報がブローカーを介して広く売買され、サイバー攻撃に悪用されるリスクがあるとして、影響を受けた可能性のあるすべてのユーザーに注意を呼びかけている。
防衛策
Malwarebytesは影響を受けた可能性のあるすべてのユーザーに、次のような防衛策の実施を推奨している。
- 影響の程度はAU10TIXの本人確認サービスを利用している各企業の対応により大きく異なる。ユーザーは個人情報を提供した企業に問い合わせ、アドバイスに従うことが望まれる
- アカウントのパスワードを一意で強力なものに変更する。特に個人情報に関連したパスワードは不正アクセスされる可能性が高い
- 多要素認証(MFA: Multi-Factor Authentication)を有効にする。可能であればパスキーなどFIDO2に準拠した方式を利用する
- 詐欺に注意する。漏洩した個人情報はブローカーから販売されている可能性があり、企業のサポートを装った詐欺の可能性がある。今回、詐欺師は企業と同程度の個人情報を保有しているとみられ、連絡してきた企業の真偽の確認は慎重に行う必要がある
- 緊急性を訴える連絡に注意する。フィッシング詐欺はユーザーから考える時間と冷静さを奪い、正常な判断を妨害しようとする
- クレジットカード情報をオンラインに保存しない。オンラインショッピングでは毎回入力する
- アイデンティティ(ID)モニタリングサービスを利用する
AU10TIXは、今回の件について、404 Mediaに対し次のような声明を寄せたという(参考:「ID Verification Service for TikTok, Uber, X Exposed Driver Licenses」)。
個人識別情報(PII: Personally Identifiable Information)にアクセスできた可能性はあるが、現時点の調査結果からは、データが悪用されたという証拠は見つかっていない。当社の顧客のセキュリティは最も重要であり、顧客には通知済みだ。
これまでのところ、漏洩したデータの件数や内容、影響範囲は公表されていない。AU10TIXは顧客に通知済みとしていることから、ユーザーはAU10TIXの本人確認サービスを利用している企業に問い合わることで影響の有無を確認可能とみられる。AU10TIXにはユーザーの不安解消のため、影響範囲の調査および開示が望まれている。