Information
SIPS Security Report

【配信日】 2020年8月17日

「謎の種」から紐解く個人情報流出の実態

7月末頃から中国郵政と書かれた「謎の種」が送られてくるというニュースを耳にする。
送られてくる郵便物は植物の種のようなものが入っていて、中身を記載する欄には「ring(指輪)」という記載がされているためブラッシング詐欺ではないかという分析もされている。

ブラッシング詐欺とはネットショッピングサイトで注文件数やレビューを水増しする偽造オンライン注文のことを言い、「出品している会社の注文数が多い」「出品内容に対する高評価レビュー」などを得る事で販売者の評判が大幅に向上して注文数が増えるという手法である。

ブラッシング詐欺は1年ほど前から米国中心に確認されており、1ヶ月前から米国、英国、日本などで「謎の種」が中国から送られるという事象が発生していて、中には指輪が届いたという人も存在する。

これは、ブラッシング業者が送り先の名前を使い「ring(指輪)」を購入したかのように見せかけるのだが、指輪ではなく安価な植物の種等を、別の業者を使い送料の安い国から送り、受け取り後にあたかも指輪を購入し受け取ったかのように、本人になりすまし高評価、レビューをする。
時には送り先に対して送料や代金の不足などを催促して金銭の支払いを求めるケースもある。
ブラッシング業者や実際に送付した業者の住所などは、架空のもので実際には存在しない場合がほとんどで、ネットショッピングの運営会社が出品会社を特定できた場合のみ販売者のアカウント停止などの対応が取られている。

ここで問題になってくるのは、「謎の種」が送られてきた本人の個人情報はどこから入手したのか・・・という事である。
「謎の種」が送られた人は、過去にネットショッピングをした際、商品が中国から届いたという共通点が存在しているという。
可能性としてはネットショッピングをした時に個人情報が流出しているという事である。

では実際にどの程度ネットショッピングで情報が流出しているのだろうか。
2020年1月から6月までの半年間、中国ブラックマーケットで【ネットショッピングサイトの情報】が売買されていた日本に関係する掲示件数は17件確認されている。
1件当たりの書き込みに対して10万件から100万件程度の情報量を保有していることが多く、個人情報として流出している総数は今年上半期だけで数百万人から1千万人を超えると想定される。

8月に入ってからも2度ショッピングサイト関連の売買情報に関する掲示を確認しており、その中の1つは【日本のショッピングモールのデータ（12万個）を販売】とあった。

ショッピングサイトに関連する情報の売買としては具体的なショッピングモール、ショッピングサイト名が記載されている場合とそうでない場合があるが、日本で多く利用されているショッピングサイトなどは中国ブラックマーケットでは頻繁に名前が挙がっている。

個人情報の内容であるが、「氏名」「住所」「年齢」「職業」「メールアドレス」「クレジットカード番号」などショッピングサイトで利用するデータが中心となっている。

今回の「謎の種」がブラッシング詐欺だとしたならば、その個人情報を直接中国ブラックマーケットのハッカーから購入するには少々コストがかかりすぎる気もする。
しかしこのような個人情報は購入後、またその個人情報リストを転売もできるので、情報が正確であれば有効活用できると言う訳である。

「謎の種」が送られてきた人は、どこのショッピングサイトから情報を搾取されたのか、それとも別のところから情報搾取されたかはわからない。
確実に言えるのは既にその人の個人情報は流出していて、今後も2度3度と個人情報の不正利用に巻き込まれる恐れがあることを理解しておかなければならない。

氏名や住所は簡単に変更することは出来ないが、銀行口座やクレジットカード情報のように金銭に絡む情報は利用状況の確認を行い、パスワードの変更などを行って被害を最小化にすることを考えなければならない。

8月に入り中国ブラックマーケットに掲示されていた情報としては、ショッピングサイト情報以外ではクレジットカード情報の売買が数多く確認されている。
中には【日本のクレジットカードの情報を大量販売します。使用不可カードの場合は払い戻し。】という書き込みもあった。
「払い戻し」まであるならば不正利用者に取ってはメリットがあるので、この商談は直ぐに決まるだろう。そしておそらく被害は大きくなる事が想定される。

クレジットカード情報の流出は直接金銭に関係してくる。
しかもそのほとんどは個人に被害が出てくるということである。

また医療関連でも新型コロナウイルスを含む検査予約などをWebから行う日本の某自治体が運営する健康保険関連サイトの個人情報が搾取され売買されている掲示もあった。

中国ブラックマーケットのハッカーは、コロナ禍でネットショッピングやインターネット関連の業務が増える状況を速やかに利用して世界中から莫大な数の個人情報を入手していて、その中でも日本はトップクラスで情報流出が発生している。
つまりインターネットを使って情報を書き込むと、その情報が流出する可能性があるという事である。

今回「謎の種」から連想させるショッピングサイトでの個人情報流出について考察したが、様々な個人情報が日々搾取され流出しているという事実を真摯に受け止め、情報を管理する企業や団体はもちろん情報セキュリティ対策を見直すことが重要であるが、個人的な被害を最小限にするためには、インターネットを利用する本人もリスクを想定した対策を取らなければならない。

　<参考URL>
NHK：2020/8/4
謎の種が… ある日突然あなたの元にも？
https://www3.nhk.or.jp/news/html/20200804/k10012549911000.html

FNNプライムオンライン：2020/8/6
気持ち悪い「謎の種」に続き今度は「謎の指輪」が届く騒動…その目的は？中国の送り主を直撃
https://www.fnn.jp/articles/-/71187

Legal Search：2020/7/16
機密情報や個人情報が漏えいした場合に企業が被る 4つの不利益とは
https://legalsearch.jp/portal/column/4-disadvantages/