脆弱なFirebaseインスタンス露出、数百万の個人情報が危機に

Last Updated on 2024-07-07 05:00 by 門倉 朋宏

2024年3月21日、3人の研究者が個人識別情報（PII）を探してインターネット上の脆弱なFirebaseインスタンスをスキャンした。Firebaseは、データベースのホスティング、クラウドコンピューティング、アプリ開発のためのプラットフォームで、Googleが所有している。研究者たちは、セキュリティルールが全く有効になっていない場合も含め、Firebaseインスタンスの設定が不適切である916のウェブサイトを発見した。その中には、書き込みが可能な状態のサイトも多く、銀行のウェブサイトも含まれていた。

2週間にわたるインターネットのスキャン中、研究者たちはGoogleのFirebaseプラットフォームに接続された500万以上のドメインをスキャンした。露出したデータの総量は膨大である：

– 名前：84,221,169
– メール：106,266,766
– 電話番号：33,559,863
– パスワード：20,185,831
– 請求情報（銀行詳細、請求書など）：27,487,924

特に問題なのは、そのパスワードの19,867,627件が平文で保存されていたことである。FirebaseにはFirebase Authenticationというエンドツーエンドのアイデンティティソリューションが組み込まれており、ユーザーパスワードを記録に露出させないように設計されているにもかかわらずである。研究者たちは、影響を受けた企業に合計842通の警告メールを送信した。サイトの所有者の1%からのみ返信があり、その約四分の一が設定ミスを修正した。

デジタルフットプリントをチェックしたい場合、無料のデジタルフットプリントスキャンを試すことができる。興味のあるメールアドレスを入力すると、オンラインで露出したデータの量に関する無料レポートが送信される。

【ニュース解説】

2024年3月21日に発表された研究によると、3人の研究者がインターネット上で脆弱なFirebaseインスタンスをスキャンし、個人識別情報（PII）が大量に露出していることを発見しました。Firebaseは、Googleが提供するデータベースホスティング、クラウドコンピューティング、アプリ開発のためのプラットフォームです。このプラットフォームは、開発者がアプリを構築し、配信する手助けをするために設計されています。

研究者たちは、セキュリティルールが全く設定されていない、または不適切に設定されているFirebaseインスタンスを持つ916のウェブサイトを発見しました。これらのウェブサイトの中には、銀行のウェブサイトも含まれており、多くの場合、データの書き込みが可能な状態になっていました。2週間にわたるスキャンで、研究者たちは500万以上のドメインを調査し、名前、メールアドレス、電話番号、パスワード、請求情報など、大量の個人情報が露出していることを確認しました。特に深刻なのは、約1980万件のパスワードが平文で保存されていたことです。

Firebaseには、Firebase Authenticationというセキュアなサインインプロセスを提供するエンドツーエンドのアイデンティティソリューションが組み込まれており、本来であればユーザーパスワードが露出することはありません。このため、パスワードを平文で保存するには、データベースに追加のフィールドを作成する必要があります。研究者たちは、影響を受けた企業に警告メールを送信し、そのうちの約四分の一が設定ミスを修正しましたが、多くのウェブサイトが依然として脆弱な状態にあります。

この事例は、デジタルセキュリティの重要性を改めて浮き彫りにしています。Firebaseのようなプラットフォームを使用する際には、セキュリティ設定を適切に行うことが極めて重要です。また、個人情報を扱う企業は、データ保護のための最新のセキュリティ対策を常に更新し、適用する必要があります。このような大規模なデータ漏洩は、個人のプライバシー侵害だけでなく、詐欺やアイデンティティ盗難のリスクを高めるため、企業にとっても重大な信頼失墜につながります。

この事件は、デジタルセキュリティの観点から、企業がどのようにして自身と顧客のデータを保護すべきか、そして個人が自分のデジタルフットプリントをどのように管理し、保護すべきかについて、重要な教訓を提供しています。

from 19 million plaintext passwords exposed by incorrectly configured Firebase instances.