中国国民10億人分の個人情報を上海警察のデーターベースから吸い出したと、あるハッカーが主張していることが明らかとなりました。もしも本当であれば、個人情報の流出としては史上最大規模の事件となります。
「ChinaDan」と名乗るハッカーは、この件を人気のオンライン・サイバー犯罪フォーラムで公開し、10ビットコインで売り出しているそうです。5日現在のレートで換算すると、およそ20万ドル(約2750万円)となります。
そのフォーラムに投稿された75万件のデータには、個人の名前や国民ID番号、電話番号、誕生日、出生地のほか、警察に届けられた犯罪や事件の詳細まで含まれているとのこと。この事件はささいな窃盗やサイバー詐欺の事件から家庭内暴力の通報まで多岐にわたり、1995年まで遡ると伝えられています。
The Wall Street Journalの記者は流出した記録のうち、電話番号が書かれた人に電話をかけて、何人かは確認が取れたそうです。うち5人は、警察以外から入手するのが難しい事件の詳細を含む、すべてのデータの裏が取れたとのこと。
どうやって警察のデータベースに侵入したかはまだ明らかではありませんが、ハッカー(あるいは犯罪者グループ)は中国アリババグループのクラウドコンピューティング子会社で、上海警察のデータベースをホストしているAliyun(アリユン)を標的にしたと主張しているそうです。
中国ではデータ漏えいが耐え難いレベルに達していると国民の怒りが高まっていることもあり、2021年には「個人情報保護法」が成立しました。が、WSJはこの法律は主に企業を対象としており、国家安全保障の考慮から政府による情報収集は広い例外が残されていると指摘しています。
つまり上海警察がほとんど制約なしに個人情報を集め、しかも20年以上にわたって溜め込んで来た結果、とてつもない流出事件に繋がった可能性もありそうです。
Source:The Wall Street Journal , Bloomberg