保険テクノロジーのスタートアップ企業であるBackNine(バックナイン)のセキュリティ上の過失により、同社のクラウドサーバーがインターネット上に無防備に放置され、数十万件の保険申込書が流出した。
BackNineという社名に聞き覚えはないかもしれないが、過去数年の間に保険を申し込んだことがあるなら、あなたの個人情報も処理していたかもしれない。カリフォルニアを拠点とする同社は、大手保険会社が生命保険や障害保険を販売・維持するためのバックオフィスソフトウェアを構築している。また、中小企業や独立系のファイナンシャルプランナーがウェブサイトで保険プランを販売する場合には、ホワイトレーベルの見積もりウェブフォームを提供している。
しかし、Amazon(アマゾン)のクラウド上でホストされていた同社のストレージサーバーの1つが、誤って設定されていたため、そこに保存されていた71万1000件のファイルに誰でもアクセスできる状態になっていた。その中には、本人とその家族の非常に機密性の高い個人情報や医療情報が含まれている作成済みの保険申込書もあった。さらに個人の署名の画像や、その他BackNineの社内ファイルも含まれていた。
TechCrunchは、調査した書類の中に、氏名、住所、電話番号などの連絡先情報の他、社会保障番号、医療診断、服用している薬、申込者の過去と現在の健康状態に関する詳細な記入済みアンケートなどがあることを発見した。血液検査や心電図などの検査結果も含まれていた。運転免許証の番号が記載されている申込書もあった。
無防備に放置されていた書類は、2015年にまで遡り、最近では今月に入ってから作成されたものもある。
バケットと呼ばれるアマゾンのストレージサーバーは、デフォルトでは非公開に設定されているので、バケットを管理している誰かがその権限を公開に変更したのだろう。データはいずれも暗号化されていなかった。
セキュリティ研究者のBob Diachenko(ボブ・ディアチェンコ)氏は、公開状態となっていたストレージバケットを発見し、2021年6月初旬に同社にメールでこの過失の詳細を伝えていたが、最初の返事を受け取った後、返信はなく、バケットは公開されたままだった。
TechCrunchは、ディアチェンコ氏が連絡して無視されたBackNineのバイスプレジデントであるReid Tattersall(レイド・タッターソル)氏と連絡を取ろうとしたが、TechCrunchも無視された。しかし、タッターソル氏に(同氏のみに)公開状態になっていたバケットの名前を伝えてから数分後に、それらのデータはロックされた。TechCrunchは、タッターソル氏からも、同氏の父親でBackNineの最高経営責任者であるMark(マーク)氏からも、まだ返事をもらっていない。
TechCrunchはタッターソル氏に、同社が州のデータ漏洩通知法に基づいて地元当局に通報したかどうか、データ漏洩の影響を受ける個人に通知する計画があるかどうかを尋ねたが、回答は得られなかった。サイバーセキュリティ事件の開示を怠った企業は、厳しい財政的・民事的な罰則を受ける可能性がある。
BackNineは、いくつかの米国の大手保険会社と取引をしている。今回公開されてしまったバケットには、AIG、TransAmerica(トランスアメリカ)、John Hancock(ジョン・ハンコック)、Lincoln Financial Group(リンカーン・フィナンシャル・グループ)、Prudential(プルデンシャル)の保険申込書が多く含まれていた。本記事掲載前に連絡を取ったこれらの保険会社の広報担当者はコメントを控えた。
関連記事
・PR TIMESが会員企業の発表前情報に対する不正アクセス公表
・ニューヨーク州ITサービス局のコードリポジトリがインターネット上に公開されていた
・北米フォルクスワーゲンの販売業者から330万人分の個人データ流出
カテゴリー:セキュリティ
タグ:データ漏洩、個人情報、保険、アメリカ、AWS
画像クレジット:TechCrunch (composite) / Getty Images
[原文へ]
(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)