検索エンジンBingモバイルアプリのユーザーデータが「ニャー攻撃」で流出!
セキュリティ研究者らが、Microsoftが所有するサーバーから、検索エンジンBingモバイルアプリの膨大な数のユーザーデータが流出したと報告しています。
Bingモバイルアプリのユーザーデータが流出
セキュリティサイトWizCaseが、Microsoftが所有するエラスティックサーバーにおいて、Bingモバイルアプリ(iOSとAndroidの両方)に関連するユーザーのログインデータが流出していたことを発見しました。
流出したデータには、ユーザーID、検索クエリ、位置情報、ユーザーがチェックした検索結果の情報などが含まれていたそうです。
さまざまなユーザーデータが流出
WizCaseによると、データベースは通常パスワードで保護されていますが、2020年9月10日から9月16日の期間中、ハッキングにより保護されていませんでした。
WizCaseのセキュリティ研究者らが調査した結果、以下のデータがBingモバイルアプリから流出していたことが判明しています。
- 検索ワード:プライベートモードで入力したものを除く、検索ボックスに入力したテキスト
- 位置情報:アプリで位置情報の利用が許可されていた場合、誤差500メートル以内の正確なユーザーの位置情報
(位置に関連する情報が正確でない場合でも、ユーザーの位置はかなり正確に把握可能。たとえばGoogle Mapに自分の位置情報をコピーした場合、そのスマートフォンの持ち主までたどり着ける可能性がある) - 検索が行われた正確な時間
- Firebase通知トークン
- クーポンコードがコピーされた時間や、アプリによって自動適用された時間、どのURLだったかなどのクーポンデータ
- 検索結果からユーザーが訪問したURLのリストの一部
- デバイス(スマートフォンやタブレット)の機種
- OS
- 各ユーザーに割り当てられた3つの異なるユニークID(ADID、deviceID、devicehash)
9月16日に復旧
WizCaseがデータ流出を発見したのは、パスワード認証が取り除かれた2日後の9月12日でした。
翌9月13日に同サイトはMicrosoftに警告しましたが、データベースが再び保護されたのは9月16日だったとのことです。
「ニャー攻撃」でデータが流出
WizCaseの調査によると、9月10日から12日にかけてMicrosoftのサーバーが「ニャー攻撃」(”meow”という猫の鳴き声だけが書き残される攻撃)の標的とされ、データベースのデータのほぼ全てが削除されました。9月12日にWizCaseが攻撃を確認した時点では、すでに1億ものデータが流出していたそうです。
そして9月14日、第2のニャー攻撃が仕掛けられました。
70カ国以上のユーザーのデータが流出しているため、9月10日から9月16日の間にBingモバイルアプリで検索をかけたユーザーは、データが流出している危険性があるとWizCaseは警告しています。