情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2021年10月8日号
***************************************************************
サイバー攻撃で流出した情報はその後どうなっているのか?
***************************************************************
日本では個人情報が漏洩すると、規模や流出元にもよるが、組織の上の人が頭を下げて詫びる。
そして流出したことを鬼の首を取ったように非難し責める人がいるという印象が強いが、何故かいつ
まで経っても、また同じような事が繰り返し起きているように感じるのは私だけだろうか?
情報漏洩、情報流出といった原因には、サイバー攻撃者による不正侵入により情報が搾取される
ケースと、それ以外では情報の保有者(もしくは管理者)が操作ミス、設定ミス等によって漏洩させて
しまうというケースがあり、実際には後者の方が圧倒的に多く、情報流出に関して纏めてあるニュース
サイトを見ても、メールの誤送信を筆頭に人為的なミスで情報流出したというニュースは後を絶たない。
毎日のように繰り返される情報漏洩事故は、日本の国民性なのか、流出したことに対して表面的
にはお詫びをしてそれで終わるが繰り返される、これは日本国民の意識の問題ではないだろうか?
以前会った中国人がこんなことを言っていた。
日本は「個人情報」に関してどこに行ってもうるさく言うのに、自分が個人情報を扱う時は何も考えず
安易に扱っているように見える。中国では親や親友に600元(日本円で約1万円)貸してとSNSや
電話で連絡しても『貴方は誰?貴方が貴方である事を証明して!』と返事が来る」という。
確かに、日本人が子供や親友から「お金貸して」と連絡してくれば送り先を聞いて送ってしまうという事
が多いかもしれない。
特殊詐欺、いわゆる“オレオレ詐欺”“振り込め詐欺”などはこれに当たるだろう。
おそらく日本人は個人情報を含む各種情報がどれだけ重要で、機密性があり、目的外に流出したこと
に対しての危機感を持っていないのだと思う。
10/6に起きた日本年金機構の年金通知書誤送付のニュースを見ると、明らかに人為的なミスであり
謝罪会見では頭を下げてはいるものの、その後に続いた言葉は「氏名や口座番号は記載されていなく、
基礎年金番号などだけで、個人を特定することはできない」と個人情報ではないので大丈夫と言わん
ばかりだが、重要情報が流出したことには間違いない。
一方で人為的ミスではなく、外部からの侵入、いわゆるサイバー攻撃で情報流出するとどうなるか?
サイバー攻撃と聞くと、危険なハッカーがハッキングによりシステムに侵入してきて、情報を奪い取り、
システムを改竄、破壊するといったイメージでいる人も多いのではないだろうか?
確かに、直接データのあるサーバに侵入して情報を搾取する攻撃もあるが、攻撃はそれだけではない。
昨今多いフィッシングもサイバー攻撃の一つであり、メールやSMSを使い言葉巧みに偽サイトいわゆる
悪性サイトに誘導し、誘導した本人に情報を入力させて情報を騙し取る。
それ以外にもマルウェアを使い、個人情報を盗み出す。もしくはデータの送信経路に悪性プログラムを
仕込みそこから情報を抜き取るなど様々な攻撃があり、以前と違うのはシステムの破壊やデータ改竄
により自己主張するスタイルから、痕跡を残さず存在を隠蔽する攻撃が主流であるということである。
東京五輪期間中にサイバー攻撃はなかったと政府発表があったが、公式サイトや大会組織委員会
のシステムに対し約4億5千万回のサイバー攻撃があったというニュースが5日に流れた。
今になって分かったのは痕跡が少なく調査が難航したのかもしれない。
流出する情報も様々で、【メールアカウント】【個人を特定出来る個人情報】【クレジットカード情報】
【銀行口座情報】【機密情報】【技術情報】などがあり、攻撃の種類により搾取される情報も変わる。
情報流出が判明した企業や団体はサーバの痕跡を調べ調査しセキュリティ対策をする。
しかし流出した情報は回収する術もなく、何が流出したかも分からずにいる場合も多い。
こうして流出した情報はサイバー闇市場で売買される。
企業などの重要情報は、その価値を知る人や組織に売られる事もあり、場合によってはランサムウェア
のような攻撃が発生し流出元が脅迫される。
個人情報やクレジットカード情報はサイバー闇市場で売買され、その情報を欲しがる別のサイバー
攻撃者やサイバー犯罪者に売られ、その情報を使って次のサイバー犯罪が起きるのである。
個人情報の場合、流出した企業が直接被害を受ける事は少なく、ほとんどの場合、流出した情報
の本人に被害が及ぶ事になる。
そもそもフィッシング攻撃に使われるメールアドレスは、ほとんどが別の攻撃者が搾取し販売していた
物を買って利用することが多い。フィッシングによって入手したクレジットカード情報は別のサイバー犯
罪者に売られクレジットカード情報を利用したサイバー犯罪が起きると言った仕組みになっている。
今年に入りSIPSで確認されているサイバー闇市場での情報売買などの脅威情報は本日現在で
約500件あり、昨年同時期の約1.8倍に増加している。
確か昨年は一昨年より1.5倍程度増加していて注意喚起していたことを覚えているが、減少する
気配もない。
項目で言えば、メールアカウント、クレジットカード情報の流出は例年の通り多く、その中で今年に
入り売買情報が増加している項目は【免許証/パスポート/保険証/マイナンバー】などの個人特定
情報と特定企業の重要情報の流出である。
あくまでサイバー闇市場での売買に関する脅威情報の件数だが、実際の流出数はもっと多いと考え
られる。
日本経済新聞の記事では2021年1~8月に国内で発覚したクレジットカードの情報流出件数が
約19万件と前年同期比で約10倍発生している、となっていてこれらを裏付ける内容である。
こんな状況の中で各種デジタル化が進めば、どうなるか考えただけで怖くなる。
政府のデジタル庁はこのような点を十分考慮してデジタル化を進めなければならない。
海外でもカナダのワクチンパスポートアプリにあたる「Portpass」が一定期間個人情報にアクセス可能
な状態にあったというニュースがあった。
ワクチン接種によって日常に戻りつつある中でワクチンパスポートやマイナンバーのデジタル化を安易に
進めれば情報が流出して別の犯罪が発生して金銭が奪われる。
折角の経済活性化を目的とした内容が全く意味を成さなくなるどころかマイナスになる可能性もある。
事実マイナンバーの情報は既に相当数中国ブラックマーケットに流出していることが確認されている。
「流出させない」ではなく、「流出は起きる」「流出した時にどうするか」を考えた対策が必要になる。
それ以前に国民一人一人が情報の扱いに対して危機感を持つ必要があるのかもしれない。
---------------------------------------------------------------------------------
<参考URL>
日本経済新聞:2021/10/4
クレカ情報流出19万件 1~8月は前年同期比10倍
https://www.nikkei.com/article/DGXZQOUC1281T0S1A810C2000000/
YAHOOニュース/共同通信:2021/10/5
五輪へのサイバー攻撃4億回超 組織委システムなど標的
https://news.yahoo.co.jp/articles/2f514b8b4a423f2a824b63d30970cbdf69b5d77c
マイナビニュース:2021/9/30
カナダのワクチンパスポートアプリ、個人情報流出の可能性
https://news.mynavi.jp/article/20210930-1986232/
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved