個人情報の漏えいが金銭被害につながる日情報漏えい事故には「防災」の考え方で備えよう
どんなことが起きている?
「この度は大変申し訳ございませんでした!」
企業の幹部が頭を垂れて謝罪するシーンを目にすることが増えている。その謝罪のニュースの中でも私たちの生活と密接なのは、インターネットサービスを行っている企業からの「個人情報漏えい」。そして、顧客アカウント不正利用による金銭被害だ。
記憶に新しいのは、大手コンビニエンスストアのスマホ決済サービスの不祥事だ。サービスの開始からわずか数日で、何百人もの個人アカウントが不正アクセスを受け、1,000人以上の人が登録していたクレジットカードの与信枠いっぱいの買い物をされるという被害が発生した。
「パスワードリスト型攻撃」が主な原因という発表があったが、それでも説明がつかない事象が多数あり、結果的に原因究明を見るまえにサービス終了が発表されるという事態となった。
10月に入ってからは、19歳の少年が海外の闇サイトから他人のクレジットカード情報1,200件を購入し不正に利用して買い物を繰り返し逮捕されていた事件が報道されている。入手した商品はフリーマーケットサイトで転売することで約1,000万円を得ていたということだ。
組織的な犯罪だけでなく、個人がカジュアルな動機で簡単に不正を働いてしまう。私たちが日常生活を送るネット社会は、もうそんな事件が頻繁に起きる状況になっているのだ。
個人情報漏えいの原因は何か?
このような事件の他にも企業の情報漏えい事件関係のニュースは数えきれないほどある。
JNSA(日本ネットワークセキュリティ協会)の調査によると、2018年の1年間に起きた個人情報漏えい事故は443件、漏えい対象となった個人データは561万3797人ということだ。
出典:2018年情報セキュリティインシデントに関する調査報告~個人情報漏えい編~(JNSA)https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf
情報漏えい事故の原因で最も多いのが「紛失・置忘れ」で116件(26.2%)、「誤操作」が109件(24.6%)、「不正アクセス」が90件(20.3%)でこの3つで全体の約7割を占めている。
そのほかの原因については、「管理ミス」が54件(12.2%)、「盗難」が17件(3.8%)、「設定ミス」が16件(3.6%)、「内部犯罪・内部不正行為」が13件(2.9%)、「不正な情報持ち出し」が10件(2.3%)、「バグ・セキュリティホール」が8件(1.8%)だった。
よくサイバー攻撃による機密情報の盗難などが話題になるが、全体的には簡単なミスが情報漏えいにつながることが多い。人が管理を行っている以上、避けることができないトラブルだといえる。またシステム的に万全なセキュリティを施していても、使用される機器やソフトウェアに新しい脆弱性が次々と発見され、アップデートなどの対策を施していない箇所があると、そこから不正アクセスが起きることもある。
もはや情報漏えいはインターネットという世界で必ず発生する、台風や異常気象のようなもので、利用者はそれを避けることは不可能ともいえる。
情報漏えいによって何が起こるか?
情報漏えいは企業にとっては信用にかかわる重大な事故だ。しかし個人情報自体は単に漏えいしただけでは何も起こらない。冒頭の事件のように犯罪者の手に渡って金銭搾取の目的に利用された時、初めて具体的な被害が発生する。2012年頃から、銀行のオンラインアカウント(IDやパスワード)のフィッシング詐欺や、正規サイトの上に偽のパスワード入力画面を差し込むウイルスなどによる不正送金被害が数多く発生した。しかし、その後の業界を挙げた対策やセキュリティソフトの性能向上によって、直接銀行口座を狙うのは困難になっている。
その結果犯罪者は個人の金銭を搾取するために、様々なインターネットサービスの「ユーザーアカウント」情報を入手するという方向へ手口を変化させているのだ。特にクレジットカードは比較的ハードルが低い。クレジットカードには引き落としの銀行口座が紐づいているので、結果的に搾取しやすい方を狙えばよいだけなのだ。
Amazon、楽天、Yahoo!ショッピング、AppleID、Googleアカウント。携帯電話事業者のキャリア決済、PayPay、LINE Pay、メルペイなどのスマホ決済。皆さんも、決済手段と結びつくアカウントをたくさん持っているはずだ。
これらのアカウントを犯罪者に乗っ取られたら、金銭被害につながるのは明白だ。
金銭に関係の無いアカウントでも、これらのアカウントと同じID、パスワードを使っていたら極めて危険だ。何か1つのサービスで情報漏えいをしたら、他のアカウントへの不正アクセスにつながることになるからだ。
企業から漏えいした個人情報、そしてネット犯罪者が仕掛けてくるフィッシング詐欺など、ユーザーを騙して自分から認証情報や決済情報を入力させる手口。これらの情報漏えいはもはや防ぎようがない。では、どうやったら犯罪被害から自分を守ることができるのだろうか?
闇サイトの取引所とは?
犯罪者に搾取された個人情報が犯罪に利用される前、世の中に出てくる場所がある。そこは、特殊なソフトを使ってのみアクセスできるダークウェブ上に開設されたブラックマーケットだ。この犯罪者が集まるブラックマーケットには、武器や薬物の取引をはじめ、サイバー犯罪に使われるウイルス作成ツール、偽サイト作成ツールも販売されている。もちろん、企業から搾取した顧客リスト、フィッシング詐欺で取得した個人のID/パスワードなどの新鮮な情報も売りに出ているのだ。
そして、不幸にもあなたの個人情報、アカウント認証情報がそのマーケットに売りに出されたら金銭被害に遭う可能性は極めて高くなると言えるだろう。
最近では、Troy Hunt氏(元マイクロソフトのセキュリティ専門家)によって運営されている「have I been pwned?」(https://haveibeenpwned.com/)のように、自分のアカウントIDやパスワードが漏えいしていないか検索をするサイトが設けられたりしている。
自分のメールアドレスを入力して「pwned?」(やられた?)ボタンを押すだけで、簡単にチェックができる。これは過去の大規模情報漏でネット上に流出した数億件のメアド、パスワードの組み合わせリストを集め、重複を除いたデータが使われている。しかし、あくまでボランタリーで提供されているサービスであり、ここに出てこなかったからといって情報流出が無いわけではない。そしてメアドとパスワード以外の個人情報は検索できない。
では、何か有効な対策はあるのだろうか?
「ブラックマーケットへの個人情報流出を素早く検知し、通知する」という新しいサービス
もし、本当に自分のアカウント情報の安全性を確保したければ、ブラックマーケットの店頭にあなたのアカウントのIDやパスワード、その他の金銭被害につながる個人情報が売りに出ていないか確認し、犯罪者から犯罪者の手に渡るのを防ぐことだ。いち早くブラックマーケットへの流出を知ることができたらパスワード変更などを行うことで被害を事前に予防することができるだろう。そんな大変な作業をやってくれる新しいサービスが登場しているので、最後に紹介しておこう。URL:https://bbssonline.jp/security/lp/norton-dwm
これはシマンテックが2019年7月にリリースしたサービスで、メールアドレス、パスワードだけでなく、銀行口座、クレジットカード番号、保険証番号など重要な個人情報を登録しておけば、それらがブラックマーケットに流出していないか常にチェックをしてくれる。そして、流出が確認されたらすぐに警報を出してくれるというサービスだ。
セキュリティ対策ソフトだけでは、このような流出した個人情報の悪用を防ぐことはできない。
例えば、台風や異常気象なども発生を避けることはできないが、天気予報で事前に情報を得られれば対策をとることができる。実際に被害が発生してからでは、それを取り返すことは困難だ。
ネット上に、あなたの金銭を狙うネット犯罪の発生予報が出たら、その時パスワード変更などの対処を取って被害を防ぐことができる。
このような新しい手法を用いアカウントを保護する「ノートン™ ダークウェブ モニタリング」は、ネットでは避けがたい突発的に起きる災害(個人情報漏えい)に効果的なサービスだと言えるのではないだろうか。