上海国家警察のデータベースから十億人規模の個人情報が漏洩?
ChinaDanの投稿
6月30日午前8時55分、ダークウェブ内のとあるフォーラムに「ShinaDan」というハンドルネームの人物が投稿しました。
In 2022, the Shanghai National Police (SHGA) database was leaked. This database contains many TB
of data and information on Billions of Chinese citizens.
Sell: Shanghai GOV (SHGA.gov.cn) National Police Database
上海国家警察のデータベースから十億人規模の中国国民に関するデータが漏洩したと主張しているようです。
PRICE: I am selling all of this data for 10BTC ($200k USD)
そして、そのデータを10ビットコインで販売すると持ちかけています。
shga_sample_750k.tar.gz
また、サンプルとして上のようなファイルを自分たちが支配するサーバーにアップロードしたと言います。
sample size increased to 750k (250k for each of the 3 main index)
サンプルは、25万件ずつのファイルが3つで合計75万件のデータがアップロードされているように読めます。
ファイルを入手
当社の脅威インテリジェンスシステムを使用して、アップロードされたファイルを探し当てました。
ダウンロードした「shga_sample_750k.tar.gz」は約110メガバイトありました。
「tar」は、主にLinuxで使われているもので、複数のファイルをひとつにまとめるものです。
そして「gz」はgzipという形式の圧縮ファイルです。
つまり、tarで固めたものをgzipで圧縮してあるファイルだということです。
展開してみました。
person_info.json : 111MB
case_data_index.json : 313MB
address_merge_with_mobile_data.json : 148MB
以上の3つのファイルができあがりました。
中身を見てみる
それぞれの中身を見てみます。
たしかに、ShinaDanが書き込んだように、それぞれ25万件のエントリーがあるデータです。
person_info.json
「person_info.json」は、読んで字のごとく個人情報です。
「氏名」「年齢」「生年月日」「出生地」「最終学歴」「兵役の有無」「身長」「ID番号」「住所」「既婚未婚の別」「顔写真へのリンク」「性別」「宗教」「犯罪歴」などが記録されているようでした。
case_data_index.json
「case_data_index.json」は、上海警察の110番受理記録のようです。
「元夫が借金を作って出ていったが、借金取りがうちに押しかけてきた」といったような生々しい取扱いの様子が記録されています。
address_merge_with_mobile_data.json
「address_merge_with_mobile_data.json」は、よく分かりませんが座標らしき記録を見ることができたことからモバイルから特定した個人の位置情報に関する情報だろうと想像しました。
どうやら本物っぽい
本当にこれが上海国家警察から漏れたものなのかは確証が得られませんでした。しかし、あまりにも情報が生々しいことから、とても民間のものとは思えませんし、創作物にしては量が尋常ではありません。
やはり、然るべきところから出てきたものなのだろうと思わざるを得ませんでした。