Photo By Shutterstock
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。
1億人超えの大規模な個人情報漏洩が発覚
このところ深刻な個人情報の漏洩被害が相次いで発覚している。
中でも驚かされたのが、米法務省が7月29日に発表した、米金融会社Capital Oneからの大規模な流出事件だ。漏洩したのはクレジットカードの発行を申請した個人や企業などの個人情報で、その総数はおよそ1億600万人分にものぼる。
同事件でFBI(米連邦捜査局)に逮捕されたのは、ソフトウェアエンジニアのペイジ・トンプソン容疑者。報道によればAmazonの元従業員(クラウド事業部)だったとされる。
1億人超えというあまりの被害の大きさから、クラウドセキュリティの信頼性を揺るがしかねない事態であると青ざめた関係者も少なくなかっただろう。
だが、その懸念を打ち消すようにAmazonは、「AWS(Amazon Web Services)がハッキングされた事実はない」と声明を発表。犯人が悪用したのはWebアプリケーションの設定ミスであって、クラウドベースのインフラに問題があったわけではないと説明している。いわゆる内部の関係者にしか出来ないような攻撃手法ではなかったようだ。
いかに強固なセキュリティ対策が施されていたとしても、設定ミスがあれば機密情報の漏洩を起こしてしまう。当たり前のことではあるが、大幅に運用負荷を軽減できるクラウドへの依存が高まると、セキュリティ意識にほころびが生じてしまうこともあるようだ。設定ミスのように「人」がセキュリティ上の穴になる情報漏洩は、他にも複数報告されている。
ミスを見逃さないセキュリティ意識の高さを養うことの大切さを、改めて痛感させられた事例といえる。
ブルガリアでは納税者ほぼ全員のデータが漏洩
個人情報漏洩というと、流出した「数」ばかりが話題になりがちだが「内容」にも注目すべきだろう。
最近報告された漏洩被害の中で、内容面で最も深刻と思われる事例のひとつが、ブルガリア共和国で6月に発生した国家歳入庁(NRA)を狙った個人情報のハッキング被害だ。漏洩したとされるのは、同国に居住するほぼすべての成人のデータで、約500万人分とされる。
しかも、漏洩したデータ(過去10年分以上)には、個人の氏名、住所、収入・所得に関する情報、個人識別番号が含まれており、その容量は21ギガバイトにものぼった。納税データという秘匿性の高いデータを、同国内の成人ほぼ全員分盗まれてしまったというのだから、前代未聞の事態と言っていい。
逮捕されたのは、クリスティヤン・ボイコフという20歳の男。警察によれば、共犯者がいる可能性もあるという。その手口は、NRAのセキュリティ上の弱点を狙った「SQLインジェクション」を用いたとみられている。
SQLインジェクションとは、アプリケーションのセキュリティ上の不備を突き、アプリケーションが想定しないSQL文を実行させることで、データベースを不正に操作する攻撃手法のこと。
また、犯人はブルガリア政府の腐敗を糾弾するメールをジャーナリストに送信していることから、その動機や、攻撃の背後にいる者についても究明が求められている。
国家が扱う個人データには高度な秘匿性が求められものが少なくない。十分なセキュリティ対策を講じることなく安易に情報化を推進すれば、国民が深刻な被害を受けることになりかねないだけに、国民1人ひとりが情報化の内容や方向性について注視していきたいものだ。
本人の同意を得ずに個人情報を販売するミスも
個人情報の管理者が警戒すべきは、外部からの攻撃だけではない。
8月5日にリクルートキャリアが明らかにした、就活生の内定辞退率を予測して販売するサービス「リクナビDMPフォロー」が個人情報保護法に違反していた事例のように、本人の同意なしに個人情報を提供・販売してしまうミスにも注意したい。同意が得られていなかった個人情報は7983人分という。
同社では、就職情報サイト「リクナビ」の閲覧履歴をもとに、就活生の内定辞退率を予測して販売するサービスを行うにあたり、リクナビの登録時にデータ利用に関する同意を得ていたので、個人情報保護法に抵触することはないと判断していたようだ。
だが、政府の個人情報保護委員会から学生への説明が不明瞭との指摘を受け、社内で再調査を行った結果、第三者に情報を提供することについての説明が7983人分についてなされていなかったことが判明。同サービスを廃止することを決めている。
今後は、個人情報の扱いについて、世間の目はますます厳しさを増していくことだろう。
違反すれば高額な制裁金を課せられる恐れのあるGDPR(EU一般データ保護規則)の施行以来、日本でも個人情報保護へ注力する企業は増えてきている。対応を怠れば、今回取り上げた事例のように深刻なダメージを受ける恐れもあるだけに、慎重な対応を望みたいものだ。