\r\n\r\n
あなたが**上の機密情報を検索するためにBingを使用している場合、あなたは今からそうすることを再考したい場合があります。Bingアプリの巨大な脆弱性は、ハッカーがユーザーが検索したすべてのものを見ることができます。
この脆弱性は、セキュリティ企業であるWizCase社によって発見されました。このチームは、Ata Hakcilというホワイトハッカーが率いており、マイクロソフトが所有する安全でないデータサーバーを発見したのです。
このサーバーには6.5テラバイトのデータが保存されており、1日に200ギガバイトずつ増えている。研究チームがサーバーの中身を調べたところ、Bingの公式アプリケーションで検索したログの巨大なデータベースを発見したのである。Bingのウェブサイトから検索しても、存在しないようでした。
チームは、過去にこのサーバーがパスワードで保護されていたことを発見したが、2020年9月の第1週にパスワードが失われていた。ハッカーはWizCaseより先にサーバーを発見し、9月10日から12日にかけて、データベース全体を破壊すると脅すニャー攻撃を仕掛けてきたのです。
しかし、ニャー攻撃は完全にすべてを消し去ったわけではない。9月12日にWizCaseが現場に到着した後、研究チームはハッカーが1億件以上の検索記録を収集していたことを指摘した。
サーバーには、以下のデータが記録されます。
プライベートモードで入力したものを除く、平文での検索語句位置座標。アプリで位置情報の許可が有効になっている場合、500メートル以内の正確な位置がデータセットに含まれています。 露出した座標は正確ではありませんが、それでもユーザーの位置の比較的**全周囲を知ることができます。それをGoogleマップに写すだけで、携帯電話の持ち主を追跡できる可能性があるのです。
このデータには、ユーザーが検索したデバイスや検索に使用したOSも含まれています。
残念ながら、データベースから流出した大量のデータは、ハッカーにBingユーザーを攻撃するのに十分な情報を与えてしまいました。位置座標は、検索キーワードと相まって、ハッカーにあなたの個人情報を盗むための情報を提供する可能性があります。
ハッカーは、検索キーワード、座標、デバイスから、誰がクエリーを送信したかを特定することができます。ハッカーは、その人物になりすますことができるプロフィールを作成し、ID詐欺を行うことができます。
ハッカーが恥ずべき検索語を見つけた場合、それを使って被害者を脅迫することができます。また、ユーザーが検索した企業や趣味を利用したフィッシング詐欺を仕掛けることもあります。
ハッカーはこのデータを使って、ユーザーに対して物理的な窃盗を仕掛けることもできるのです。ユーザーが自宅でBingを検索すると、ハッカーが住んでいる場所に行くように促されます。ハッカーは、検索時間と検索条件から、被害者の家がいつ空くかを計算し、それを盗むことができるのです。
今回の情報漏えいの結果、Bingのユーザーは、自分のデータが悪意のある者の手に渡った可能性があることを認識する必要があります。これまで以上に、ユーザーのプライバシーを尊重し、検索結果を記録しない検索エンジンを使用することが重要です。
もしあなたが(当然)より安全な検索エンジンに乗り換えたいと思ったとしても、心配はいりません。DuckDuckGoやStartPageなど、あなたの情報を尊重するプライベートな検索エンジンはたくさんあります。
画像出典:Best Backgrounds/Shutterstock.com ウェブサイト