KYC認証とは? 個人情報保護と共存する情報漏洩の脅威
昨今、金融界はむろん、仮想通貨取引所側でも必須とされているのがKYC(Know Your Customer)です。KYCとは、顧客が本人のアカウントであることを証明する手続きであり、身分証明書やパスポートなどを金融会社に提出する形で行われ、場合によっては、本人のパスポートを持って顔と一緒に写真を撮って提出するところもあります。
これは金融機関が顧客の身元を正確に把握し、違法な活動を防止し、取引の透明性を高めるために使用する一種の本人確認の一つで、マネー・ローンダリング防止(AML:Anti-Money Laundering)とテロ資金調達防止(CTF:Counter-Terrorism Financing)の規制を遵守するための目的で行われます。最近の金融関係機関では必須的に要求されるプロセスでもあります。
当然、KYCプロセスを通じて収集された写真と個人情報は非常に機密性の高い情報であるため、金融機関や関連企業はこのような情報を安全に保管するために様々なセキュリティ対策を講じています。個人情報の暗号化はむろん、限られた人だけがアクセスできるようにアクセス制御を実施し、定期的なセキュリティチェックと一緒にリアルタイムモニタリングも行わなければなりません。KYCで収集されたデータが保存されているサーバーは、GDPR(General Data Protection Regulation)やCCPA(California Consumer Privacy Act)のようなセキュリティポリシーに従って非常に厳しく管理されています。
KYCで収集された個人情報の流出事例
しかし、企業のセキュリティポリシーが不十分なため、KYCサーバーとデータが無防備にインターネットに公開される場合は、一般的な個人情報流出とは比べ物にならないほど、非常に深刻な個人情報流出を引き起こす可能性があります。下のケースは2024年7月2日に発見されたKYCサーバーで、KYC認証を受けたユーザーの個人情報とパスポート写真、身分証明書などがそのまま公開されていました。当企業がどちらの企業なのかは確認できませんでしたが(開発用サーバーがファイアウォールの設定ミスで公開された可能性も存在する)、当サーバーには世界中のユーザー情報が1万件ほど保存されており、何のアクセス制限なしにすべての情報の閲覧が可能な状態でした。
下の写真を見ると、身分証のスクリーンショットと住んでいる住所、名前と生年月日を確認することができ、只今スマートフォンで撮影したような現在の写真まで見ることができました。個人情報が部分的に流出されることも深刻ですが、KYCサーバーが流出されると、このように個人の身分証明書まで含め、すべての情報が丸ごと第3者の手に渡される可能性があります。そのため、一般的なサーバーのファイアウォールのミスの問題よりもはるかに深刻な状況だと言えます。この記事が投稿される7月9日、現在も、このサーバーは依然として稼働している状態であり、誰でも個人情報を丸ごと受け取ることができる状態で放置されています。所有者が不明な開発サーバーと思われるシステムなので、サイトのオーナーに知らせることも難しい状況です。
コンプライアンス規制の盲点に置かれた開発サーバー
推測ですが、このサーバーは実際に稼働中のライブサーバーではないかもしれません。一般的にKYCで使用されるライブサーバーは、コンプライアンスポリシーによって非常に厳しく管理されるはずです。そして、コンプライアンスプロセスの中にあるサーバーには、厳しいセキュリティポリシーが追加されるため、開発環境が不便になる問題が発生することがあります。そのため、一般的なエンジニアはコーディングしずらくなってコンプライアンス自体を非常に嫌う場合が多いです。
だから、結局、ポリシーを破る事件がよく発生します。例えば、快適な開発環境を作りたいと思って、自宅でもアクセスできる別のクラウドサーバーを作ってそこに実データを流すケースがその代表的なケースです。当たり前のことに、開発環境で実データを流すこと自体もコンプライアンス違反ですが、それを軽く見逃してくれるケースも存在します。上のケースはKYC認証までしなければならないかなり多くのユーザーを保有している金融システムに見えますが、実際にあのサイトに見えるデータが1万個程度であることから、おそらく楽な開発環境の中に1万個程度の実データを持ってきて使うケースではないかと思われます。
しかし、1万個と言っても、とにかくユーザーの実際の個人情報であり、さらに身分証明書を含む特定個人の全体情報であるため、その深刻度はまさに致命的です。結局、開発環境の穴を利用してエンジニアがデータを簡単に持ち込んでしまい、企業の信頼度に致命傷を与えるような問題が発生する可能性があります。エンジニアは単純に作業を楽にしたかっただけでしたが、それがKYCサーバーの重要度を忘却してしまう事例になってしまいました。
このように攻撃対象領域には、企業のセキュリティ担当者がすべてケアできない深刻なセキュリティ問題がリアルタイムで発生します。開発者個人の逸脱が企業全体に致命的な打撃を与えることを防止するために、企業は攻撃対象領域を定期的にチェックしなければなりません。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
