TikTok、X(旧Twitter)の本人確認システムで個人情報漏洩か 1年以上放置の疑い
【東京総合 = テクノロジー】イスラエルのテクノロジー企業「AU10TIX」が提供する本人確認サービスで、運転免許証の画像などの個人情報が流出していた可能性があることが27日、わかった。同システムは、TikTok、Uber、Xなど大手プラットフォーム企業が本人確認に活用しており、少なくとも1年以上外部から個人情報にアクセスできた可能性がある。インターネットの安全を根幹から支える本人確認システムの脆弱性が露呈し、業界に衝撃が走っている。
AU10TIXは、年間2000万件以上の本人確認処理を行う業界大手だ。同社の顧客には、TikTok、Uber、X以外にも、PayPal、Coinbase、LinkedIn、Upworkなど巨大IT企業が名を連ねる。今回の問題は、2022年12月に従業員の認証情報がマルウェアによって盗取され、2023年3月にTelegramで公開されたことに端を発するという。
AU10TIXは当初、この問題を「1年半以上前に起きた事件」と説明していたが、専門家の指摘を受け、今月初旬まで問題のシステムへのアクセスが可能だったことが明らかになった。同社は現在、該当するシステムの廃止と新システムへの移行を進めているという。
流出した情報には、ユーザーの氏名、生年月日、国籍、ID番号に加え、運転免許証などの身分証明書の画像も含まれていた可能性がある。さらに深刻なのは、AU10TIXの本人確認プロセスの詳細な結果データも漏洩していた疑いがあることだ。これには「生体認証」の結果や、文書の真正性評価などが含まれる。
こうした事態を受け、AU10TIXと契約する企業も対応に追われている。Upworkは過去の利用を認めつつも、現在は別のサービスプロバイダーを使用していると説明。FiverrとCoinbaseは、現時点で自社データへの影響は確認されていないとしている。一方、TikTok、Uber、Xは本件に関するコメントを控えている。Xは来月から、収益分配を受け取る要件に本人確認の義務化を追加する。引き続き同システムを使っていれば、情報流出を懸念したユーザーから批判される可能性がある。
本人確認サービスの情報流出は過去にも何度か発生している。繰り返される情報流出は、急成長を遂げる本人確認サービス業界に警鐘を鳴らす。調査会社MarketsandMarketsによると、同市場は2021年の81億ドル(1兆2000億円)から2026年には188億ドル(3兆円)に成長すると予測されている。ただ度重なる情報漏洩で業界全体の信頼性が揺らいでいる。
国も対策に動いている。金融庁は2022年、国内の金融機関に対し、本人確認サービスのセキュリティ体制の再点検を要請する方針を明らかにしていた。またデジタル庁は2023年、民間企業の本人確認サービスについて、関係団体と安全性に関するガイドラインの策定を検討した。