人工知能企業が大規模なデータ漏洩事件に見舞われ、250万人以上のデータが流出

[[258473]]

最近、セキュリティ分野に注力する国内の人工知能企業で大規模なデータ漏洩事件が発生した。250万人以上のデータにアクセス可能で、 ID情報や顔認識画像、撮影場所など680万件のデータが漏洩した疑いがある。

微博安全緊急対応センターなどの情報によると、この会社は深圳市神旺視覚科技有限公司（以下、神旺視覚）で、2015年に設立され、上場企業である東方網絡科技有限公司（以下、東方網絡科技）が経営しており、主な業務はビデオ監視である。顔認識技術は、Deep Web Visionの主な研究開発方向であり、多くの地方公安部門や大規模イベントとの人工知能セキュリティ協力を実施するための基盤でもあります。

データ漏洩事件が発覚した後、Deep Web Visionの公式サイトは開けなくなってしまった。中国青年報と中国青年網の記者が深圳ネットビジョンに事件の確認を求めたところ、スタッフは事件が調査中であると述べた。

人工知能の段階的な発展に伴い、顔認識技術が徐々に生活に応用されつつあります。一部の場所では顔認識によるアクセス制御が実施されており、一部の場所ではすでに「顔スキャン法執行」が開始され、赤信号を無視した人の顔認識が行われています。また、多くの携帯電話やアプリでも顔認識機能が実装されています。しかし、この技術が悪用された場合、個人のプライバシーの保護に悪影響を与えるのではないかと懸念する人も多くいます。

Deep Web Visionのデータ漏洩疑惑事件の後、より難しい問題が世間に投げかけられた。顔認識技術と関連企業のセキュリティをどう見るべきか？セキュリティを主力事業とし、人工知能を基盤とするテクノロジー企業が、データ漏洩事件を阻止できなかった。何が悪かったのか？

「AI+セキュリティ」企業でもデータ漏洩は防げない

多くのデータ漏洩事件と同様に、Deep Web Vision の大規模データ漏洩の疑いに関するニュースは、同社自身からではなく、外部のサイバーセキュリティ コミュニティから発信されました。

2月中旬、サイバーセキュリティ研究者らは、顔検出および群衆分析サービスを提供する中国のテクノロジー企業SenseNetsの顔認識データベースにパスワード保護が欠如しており、大規模なデータ漏洩につながっていることを発見した。データベースには、利用者の身元を特定できるID番号、住所、生年月日、写真、勤務先、位置情報など、機密性の高いプライバシー情報を含む、256万人以上の利用者の記録が含まれているという。

公開された情報によると、DeepNet Visionは、人工知能分野の「ユニコーン企業」であるOriental Network PowerとSenseTime Technology Groupが共同で設立したもので、「AI+セキュリティ」市場をターゲットとしている。具体的な協力では、センスタイムと香港中文大学の研究開発チームがアルゴリズムサポートを提供し、東方網絡動力はセキュリティ業界向け製品の徹底的な開発を担当します。そんなAIセキュリティ企業でデータ漏洩事件が起こり、サイバーセキュリティ業界の多くの人々を本当に驚かせました。

2015年に設立された当初、NetworkPosaとSenseTimeはそれぞれ深圳インターネットビジョンの株式の51％と49％を保有していた。しかし、両者の協力は長くは続かず、SenseTimeは徐々に資本を減らした後、2018年4月に深センネットワークビジョンへの投資を撤回し、NetworkPosaは深センネットワークビジョンの主要株主となった。公開情報によると、NetworkPosaの副社長である万定瑞は深センネットワークビジョンの総経理も務めている。東方網絡電力の発表によると、深セン網絡ビジョンは2018年上半期に利益を上げず、純利益は-569.25万元だった。2017年の純利益は-2042.95万元だった。

スタッフは、この件は現在調査中であると伝えた。その後、記者はオリエンタルネットワークパワーに電話をして事件を確認したが、記事執筆時点では返答はなかった。センスタイムは中国青年報と中国青年網の記者に対し、ディープウェブビジョンは現在センスタイムとは何ら関係がなく、データ漏洩に関わった同社の製品はセンスタイムから提供されたものではないと語った。ディープウェブビジョンへの投資撤退については、主にセンスタイム自身の事業計画の調整によるものだ。

株式の変更は多少複雑でしたが、DeepNet Vision はすでに顔認識技術の市場応用においてかなりの経験を積んでいます。 Lagou.comの情報によると、DeepNet Visionには顔認識制御システムとインテリジェント群衆分析システムという2つの主要な重要な製品があります。前者は、監視操作や人員の協力なしに、あらゆる監視に現れる顔を素早くキャプチャして識別し、データベース内のターゲット顔リストとリアルタイムで照合することができます。後者は、人口密集現場の群衆の状況を効果的に監視し、タイムリーに効果的な介入措置を講じることができるため、事故の発生を減らし、群衆の異常な行動をタイムリーに警告することができます。

内部の抜け穴はハッカーによる盗難よりも​​深刻。「重要な防衛線」をどう守るか

インターネットサービスプロバイダーがユーザーの個人情報を収集して保存するにつれて、データ漏洩が頻繁に発生します。ダークウェブで売買されていた華珠ホテルグループの顧客1億3000万人分の個人情報から、Facebookのユーザーデータの漏洩、Qudianの学生数百万件のデータの漏洩疑惑まで...プライバシーに関わるユーザーデータは常に犯罪者の標的となっている一方で、大量のユーザーデータを収集、保管、使用している企業は非常に受動的で無力であるように思われます。

セキュリティ情報プロバイダーであるRisk Based Security（RBS）が発表したレポートによると、2018年に世界中で発覚した6,500件以上のデータ侵害のうち、3分の2は商業部門で発生し、1億人以上が関与したデータ侵害は12件に上った。データ侵害の一般的な原因のうち、ハッカーによるものが大部分を占めていますが、内部の脆弱性によるデータ侵害の件数は、ハッカーによるデータ盗難の件数をはるかに上回っています。

2017年に施行された「サイバーセキュリティ法」では、「収集者は誰であれ、責任を負う」という原則が明確に打ち出されており、プライバシー情報を収集する側にデータセキュリティ確保の義務を負うことが求められています。特に重要なのは、ユーザーのプライバシー情報を一元的に保管するデータベースです。顔認識技術が徐々に応用分野を拡大し、消費や融資などの金融分野にも徐々に定着しつつあるなか、多くの企業はそれに応じたセキュリティ対策を講じていません。

重慶大学国家サイバー空間セキュリティとビッグデータ法務戦略研究所所長の斉愛民氏は、企業や機関のデータベースセキュリティ能力の弱さ、責任感が弱いこと、データ市場の需要が強いことなどの要因が、大規模なデータ漏洩の土壌を築いたと述べた。 360インターネットセキュリティセンターが発表した「WannaCry 1年間のランサムウェア脅威状況分析レポート」によると、2017年のランサムウェア発生前夜、さまざまな機関にはパッチのアップグレードなどのセキュリティ展開作業を行うのに58日間の猶予があったが、一部の機関は独自の隔離対策は十分安全であり、パッチの適用は面倒すぎると誤解し、最終的にランサムウェアの被害に遭うことになった。

第二に、データ移転には手続きが多く、責任感が弱い企業もある。ユーザーデータの転売は中国では比較的成熟したブラックグレー産業となっており、ユーザーデータのパッケージ販売はブラックマーケットのいたるところで見られる。企業にとって、データセキュリティ保護部門は、利益を生み出す部門ではなく、コスト支出部門にすぎません。

斉愛民氏は、外部からの監督が効果的に実施されていないことも重要な原因だと考えている。わが国の個人情報保護制度は依然として不完全で、法執行責任は明確ではなく、統一された効果的な監督メカニズムはまだ形成されていない。人々の関心が薄れた後、多くのデータ漏洩事件も未解決のままになっている。ほとんどの機関は「書面による声明」でデータ漏洩疑惑から距離を置き、その後の調査結果も公表されなかったため、間接的に業界におけるユーザーデータ保護の雰囲気の悪化につながった。

公安部第三研究所情報ネットワーク安全法研究センター所長の黄道立氏は、データ漏洩が頻繁に発生している現在、単に「敏感度」の程度を判断するよりも、個人情報に伴う影響に注意を払うことがより急務であると考えている。例えば、Deep Web Visionによって漏洩したと疑われる顔認識データが、過去に漏洩したプライバシー情報と関連している場合、「ユーザーポートレート」のレベルに達する可能性があり、国民の日常生活をあらゆる面で暴露し、精密マーケティングやオンライン詐欺などのリスクを生み出すことになる。

黄道麗氏は、顔認証や指紋認証は生体認証機能であり、暗号化技術ではないため、単独で使用しても個人情報を保護することはできないと指摘した。インターネット企業は利便性を追求する一方で、こうした生体認証機能に必要な暗号化対策を講じるべきであり、「それがまさにメーカーの市場での地位やリーダーシップを反映する側面である」としている。

DCCIインターネットデータセンター所長の胡延平氏は、顔、指紋、虹彩などのユーザーの生体認証情報は「絶対に間違えてはならない」個人情報セキュリティの重要な防御線だと考えている。セキュリティ保護が低く、プライバシー保護が弱いという現実に直面し、彼はユーザーに対し、これらの生体認証情報を慎重に使用し、「インターネット上では、可能であればこの情報を送信しないでください」とアドバイスし、セキュリティが不十分なデータベースの背景に個人情報が大量に入力されるのを防止しました。