個人情報の漏えいが金銭被害につながる日
情報漏えい事故には「防災」の考え方で備えよう

どんなことが起きている？

記憶に新しいのは、大手コンビニエンスストアのスマホ決済サービスの不祥事。サービスの開始からわずか数日で、何百人もの個人アカウントが不正アクセスを受け、1,000人以上の人が登録していたクレジットカードの与信枠いっぱいの買い物をされるという被害が発生しました。
「パスワードリスト型攻撃」が主な原因という発表がありましたが、それでも説明がつかない事象が多数あり、結果的に原因究明を見る前にサービス終了が発表されるという事態となりました。

2019年10月には、19歳の少年が海外の闇サイトから他人のクレジットカード情報1,200件を購入し不正に利用して買い物を繰り返し、逮捕されました。入手した商品はフリーマーケットサイトで転売することで約1,000万円を得ていたということです。

組織的な犯罪だけでなく、個人がカジュアルな動機で簡単に不正を働いてしまう。私たちが日常生活を送るネット社会は、もうそんな事件が頻繁に起きる状況になっているのです。

個人情報漏えいの原因は何か？

このような事件の他にも企業の情報漏えい関係のニュースは数えきれないほどあります。
JNSA（日本ネットワークセキュリティ協会）の調査によると、2018年の1年間に起きた個人情報漏えい事故は443件、漏えい対象となった個人データは561万3797人ということです。

情報漏えい事故の原因で最も多いのが「紛失・置忘れ」で116件（26.2％）、「誤操作」が109件（24.6％）、「不正アクセス」が90件（20.3％）でこの３つで全体の約7割を占めています。
そのほかの原因については、「管理ミス」が54件（12.2％）、「盗難」が17件（3.8％）、「設定ミス」が16件（3.6％）、「内部犯罪・内部不正行為」が13件（2.9％）、「不正な情報持ち出し」が10件（2.3％）、「バグ・セキュリティホール」が8件（1.8％）でした。

よくサイバー攻撃による機密情報の盗難などが話題になりますが、全体的には簡単なミスが情報漏えいにつながることが多く、人が管理を行っている以上、避けることができないトラブルだといえます。またシステム的に万全なセキュリティーを施していても、使用される機器やソフトウェアに新しい脆弱性が次々と発見され、アップデートなどの対策を施していない箇所があると、そこから不正アクセスが起きることもあります。

もはや情報漏えいはインターネットを利用する上で避けては通れない課題で、インターネットを利用する場合、対策は必須と言っても過言ではありません。

情報漏えいによって何が起こるか？

情報漏えいは企業にとっては信用にかかわる重大な事故です。加えて、冒頭の事件のように犯罪者の手に渡って金銭搾取の目的に利用された時、具体的な被害が発生する懸念があります。

2012年頃から、銀行のオンラインアカウント（IDやパスワード）のフィッシング詐欺や、正規サイトの上に偽のパスワード入力画面を差し込むウイルスなどによる不正送金被害が数多く発生しました。しかし、その後の業界を挙げた対策やセキュリティーソフトの性能向上によって、直接銀行口座を狙うのは困難になっています。

その結果犯罪者は個人の金銭を搾取するために、様々なインターネットサービスの「ユーザーアカウント」情報を入手するという方向へ手口を変化させています。特にクレジットカードが金銭を搾取するターゲットとされています。クレジットカードには引き落としの銀行口座が紐づいているので、結果的に搾取しやすいクレジットカードを狙えば、犯罪者は目的を達成できてしまうのです。

企業から漏えいした個人情報、そしてネット犯罪者が仕掛けてくるフィッシング詐欺など、ユーザーを騙して自分から認証情報や決済情報を入力させる手口など、これらの情報漏えいはもはや防ぎようがないのでしょうか？どうしたら犯罪被害から自身を守ることができるのでしょうか？

闇サイトの取引所とは？

犯罪者に搾取された個人情報が犯罪に利用される前、世の中に出てくる場所があります。そこは、特殊なソフトを使ってのみアクセスできるダークウェブ上に開設されたブラックマーケットです。
この犯罪者が集まるブラックマーケットには、武器や薬物の取引をはじめ、サイバー犯罪に使われるウイルス作成ツール、偽サイト作成ツールも販売されています。もちろん、企業から搾取した顧客リスト、フィッシング詐欺で取得した個人のID/パスワードなどの情報も売りに出ています。

そして、不幸にもあなたの個人情報、アカウント認証情報がそのマーケットに売りに出された場合、金銭被害に遭う可能性は極めて高くなると言えるでしょう。

最近では、Troy Hunt氏(元マイクロソフトのセキュリティー専門家)によって運営されている「have I been pwned?」（https://haveibeenpwned.com/）のように、自分のアカウントIDやパスワードが漏えいしていないか検索をするサイトが設けられています。

自分のメールアドレスを入力して「pwned?」（やられた？）ボタンを押すだけで、簡単にチェックができます。これは過去の大規模情報漏でネット上に流出した数億件のメールアドレス、パスワードの組み合わせリストを集め、重複を除いたデータが使われています。しかし、あくまで任意で提供されているサービスですし、ここに出てこなかったからといって情報流出がないわけではありません。そしてメールアドレスとパスワード以外の個人情報は検索できません。

では、何か有効な対策はあるのでしょうか？

「ブラックマーケットへの個人情報流出を素早く検知し、通知する」新しいサービス

もし、本当に自分のアカウント情報の安全性を確保したければ、ブラックマーケットの店頭にあなたのアカウントのIDやパスワード、その他の金銭被害につながる個人情報が売りに出ていないか確認し、犯罪者から犯罪者の手に渡るのを防ぐことです。いち早くブラックマーケットへの流出を知ることができれば、パスワード変更などを行うことで被害を事前に予防することができるでしょう。そんな大変な作業を自動でやってくれる新しいサービスがあります。

これはシマンテックが2019年7月にリリースしたサービスで、メールアドレス、パスワードだけでなく、銀行口座、クレジットカード番号、保険証番号など重要な個人情報を登録しておけば、それらがブラックマーケットに流出していないか常にチェックをしてくれます。そして、流出が確認されたらすぐに警報を出してくれるというサービスです。

セキュリティー対策ソフトだけでは、このような流出した個人情報の悪用を防ぐことはできません。
例えば、台風や異常気象なども発生を避けることはできませんが、天気予報で事前に情報を得られれば対策をとることができます。実際に被害が発生してからでは、それを取り返すことは困難です。
ネット上に、あなたの金銭を狙うネット犯罪の発生予報が出たら、その時パスワード変更などの対処を取って被害を防ぐことができます。 このような新しい手法を用いアカウントを保護する「ノートン™ ダークウェブ モニタリング」は、ネットでは避けがたい突発的に起きる災害（個人情報漏えい）に効果的なサービスだと言えるのではないでしょうか。

eoサービスのご案内

eoでは、詐欺サイト対策ソフト「詐欺ウォール」をご利用いただける、「インターネットサギウォール for eo」を提供しています。ワンクリック詐欺やフィッシング詐欺など、インターネット詐欺の危険性があるサイトを瞬時に検知して防御する、インターネット詐欺対策ソフトです。より強固な対策となるよう、ウイルス対策ソフトを利用できる「eoセキュリティーパック」とあわせてご利用いただくと、月額料金もおトクになります。
詳しくは以下をご確認ください。

eoセキュリティーパック

インターネットサギウォール for eo

Copyright © BBSS Corporation. All Rights Reserved.