セキュリティの不備で、インドのセキュリティ専門組織の人事ファイルと医療記録が流出
今回は「セキュリティの不備で、インドのセキュリティ専門組織の人事ファイルと医療記録が流出」についてご紹介します。
関連ワード (保存、個人、警察組織等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
インドの中央産業安全部隊(Central Industrial Security Force、CISF)の内部文書と職員の健康記録および個人ファイルが、データに対するセキュリティの過失によりオンラインで漏洩した。
インドのあるセキュリティ研究者が、同国政府からの報復を恐れて匿名で語ったところによると、CISFのネットワークに接続されているセキュリティ装置が生成するネットワークログを収めたデータベースが見つかった。しかしそのデータベースはパスワードで保護されていないため、インターネット上の誰でも自分のウェブブラウザからログにアクセスできた。
ネットワークログには、CISFのネットワークのどのファイルがクセスされたか、あるいはセキュリティのルールによりブロックされたかを詳細に記した記録があった。ログにはCISFのネットワークに保存されている文書の完全なウェブアドレスがあり、インターネット上の誰でもそのログにアクセスでき、それらのファイルをCISFネットワークから直接、これまたパスワード不要で開くことができた。
ログには24万6千以上の、CISFのネットワーク上のPDF文書の完全なウェブアドレスの記録があり、その多くが個人のファイルや健康記録に関連し、また、CISFの職員に関する、個人を同定できる情報があった。ファイルの一部は、日付が2022年という最新のものだった。
CISFは職員数16万以上という世界最大の警察組織であり、政府の施設とインフラおよび全国の空港のセキュリティの保護を任されている。
上記の研究者によると、そのセキュリティ装置はHaltdos製で、同社は企業などにネットワークのセキュリティ技術を提供しているインドのセキュリティ企業だ。データベースの露出が最初に見つかったのは、露出しているデバイスやデータベースを見つけるShodanによると3月6日だった。TechCrunchは、そのデータベースが「haltdos」という名前で構成されていたことを確認した。
HaltdosのCEOであるAnshul Saxena(アンシュル・サクセナ)氏は、何度もコメントを求めたが応じなかった。TechCrunchはまたCISFの広報に対して、メールでそのサーバーに保存されている外部に露出しているファイルのいくつかのウェブアドレスについて尋ねたが、回答は得られていない。善意のセキュリティ研究者から警告されたときは、インドの政府機関は秘かにそのセキュリティの問題を修復し、それが変わることのない周知の知識になったときには、その主張を拒絶または否定することが普通に行われている。
データベースは現在、アクセス不能になっているが、問題のセキュリティ装置はまだオンラインのようだ。
画像クレジット:Sanjeev Verma/Hindustan Times/Getty Images
【原文】
Internal documents, officer health records, and personnel files belonging to India’s Central Industrial Security Force were spilling online because of a data security lapse.
A security researcher in India, who asked not to be named for fear of retaliation from the Indian government, found a database packed with network logs generated by a security appliance connected to CISF’s network. But the database was not secured with a password, allowing anyone on the internet to access the logs from their web browser.
The network logs contain detailed records of which files on CISF’s network were accessed or blocked because of security rules. Because the logs contained full web addresses of documents stored on CISF’s network, it was possible for anyone on the internet to access the logs, and then open those files in their browser directly from CISF’s network, also without needing a password.
The logs contained records for more than 246,000 web addresses of PDF documents on CISF’s network, many of which relate to personnel files and health records, and contain personally identifiable information on CISF officers. Some of the files are dated as recently as 2022.
CISF is one of the largest police forces in the world with more than 160,000 personnel, tasked with protecting government facilities, infrastructure, and airport security across the country.
The researcher said the security appliance is built by Haltdos, an India-based security company that provides network security technology to organizations. The database was first found to be exposed on March 6, according to Shodan, a search engine for exposed devices and databases. TechCrunch confirmed that the database was configured with the name “haltdos.”
Haltdos CEO Anshul Saxena did not respond to multiple requests for comment. TechCrunch also emailed a CISF public affairs officer with several web addresses of publicly exposed files stored on its servers, but we did not receive a response. It’s not uncommon for government organizations in India to quietly fix security issues when alerted by good-faith security researchers but then rebuff or deny the claims when they invariably become public knowledge.
The database and the security appliance are no longer online. In an email sent to TechCrunch after publication, Haltdos described the lapse as a “serious security incident.”
Updated with remarks from Haltdos.
Read more:
(文:Zack Whittaker、翻訳:Hiroshi Iwatani)