データ流出が口止めされていた?
ネット上でのプライバシーや、個人情報管理のあり方が取り沙汰されることが増えてきている。8月、アメリカの連邦検察官が、Uberの元最高セキュリティ責任者を告訴したことが報道された。
Uberは2016年、2人のハッカーによる個人情報窃盗の被害に遭った。ハッカーはUberのデータベースに侵入し、Uberを利用した乗客と運転手、合わせて5700万人分の個人情報を盗み出したという。
しかし、当時Uberで最高セキュリティ責任者を務めていたジョセフ・サリバン氏は、およそ10万ドルを支払い、情報を盗んだことを口外しないように要求したとされている。
近年は、不正アクセスによってキャッシュレス決済サービスが停止に追い込まれたり、企業が会員の十分な同意を得ないまま個人情報を販売したことが明らかになったりするなど、個人情報の管理のあり方が問われる事件が増えている。
個人情報を詰め込んだスマートフォンやパソコンで、ネットに接続することが当たり前の時代。当然、サービスを利用する際に、個人情報を登録し、提供する機会は多い。データ流出の話題に、不安を覚えるのは当然のはず。
もっとも、データが漏洩する事件は、被害に遭っていないと、危険性、そして対策がなかなか実感できない面もあるかもしれない。「ユーザー側では防ぎようがないのでは?」と思う人もいるだろう。しかし、だからといって、個人情報の漏洩に対する警戒を怠ってよい理由にはならない。
消費者も企業も気をつける
大規模なデータ流出の多くは、内部で働いている人から流出してしまうと考えると、ユーザーとしてはできることがないように思えるかもしれない。しかし、万が一の場合に被害を最小限に食い止めるために、日頃から気をつけておくことはある。
たとえば、あるサービスからパスワードが流出してしまったとしよう。ほかのサービスでも同じものを使いまわしていると、それらに不正アクセスされてしまう可能性がある。
パスワードの使い回しは控えたいほか、パスワードを設定する際には、推測されにくいように短いもの、単純なものは避けたいところ。パスワード管理ソフトを使うのも有効だ。クラウド経由でデータを共有できるソフトなら、パソコンからでもスマホからでもパスワードが同期されてすぐに使える。
SNSを利用する際は、正しい設定が維持されているかどうか、マメにチェックしてみるるのも有効だ。なにかが変わっていないかどうか注意しておけば、異変が起きたときに気づきやすいだろう。セキュリティ ソフトウェアを使用し、デバイスや個人情報をフィッシング詐欺(およびマルウェア)の脅威から保護するのは基本といえる。
また、サービスを利用する際には、「第三者にデータを提供しない」「個人を特定できない形の活用」「収集したデータの活用方法を示す」といった点を、しっかり説明しているかを確認しておきたい。
あわせて、企業には、このスタンスを明確にすることが求められることも忘れないようにしたい。個人情報やプライバシー関連の問題が発覚したり、個人情報の取り扱いを軽んじていると見られたりするような企業のサービスからは、ますます人が離れていくことが予想される。
自分の職場などで、顧客の個人情報を扱うことになった場合は、この点に留意して進めたいところだ。リスクを放置したままで事故が起きれば、企業としての信頼が傷つくことになりかねない。
これからの時代に必要なセキュリティの知識を身に付けるため、McAfee Blogの「Uberのデータ侵害と自身のデータを保護する方法」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
Uberのデータ侵害と自身のデータを保護する方法:McAfee Blog
Uberのデータ侵害に関する最新情報とあなたの情報の保護について
先日、米国連邦検察官がUberの元CSO(Chief Security Officer)を起訴したというニュースが報道されました。記事を目にされた方もいるかもしれません。問題となったのは2016年に発生した事件で、検察官はその元CSOが攻撃者であるハッカーへ10万ドルを支払いデータ侵害を隠蔽したと主張しています。事実を正義のもと明らかにせずに攻撃者の重罪を隠蔽したものと見られています。
侵害自体は数年前のニュースであり、同社はプライバシーとセキュリティーシステムの定期監査への同意とともに各州と特別区に1億4800万ドルの和解金を支払いましたが、今回の起訴は侵害が起こったことを思い出させることになりました。さらに、企業が迅速に、透明性をもって、顧客や従業員のために行動を起こす場合であっても、それらに気づくまでに時間がかかる場合があります。
昨年発表した調査によると、すべての漏洩事故の4分の3近くが公表を必要としているか、財務状況に影響を及ぼしており、2015年から5ポイント増加しています。さらに、業界調査によると、不正の特定と封じ込めには平均でおよそ9ヵ月かかる可能性があります。9ヵ月以上もかかるのです。その期間内にも漏洩データに含まれた顧客などの個人情報に多くのことが発生する可能性があります。したがって、漏洩や不正への対処期間を考慮すると、私たちは常に、自身の情報について警戒する必要があります。
そこで今回は、このような事故の影響を抑え、自身の金融情報はもちろん、ひいては身を守るために、今すぐにできることをお伝えします。これらは、自身の個人情報を管理するために必要な事項です。
データ侵害から身を守るためのチェックリスト
1. オンラインアカウントを注意深く監視
それがクレジットカードの明細書、銀行取引明細書、またはUberなどのサービスの個人アカウントであるかどうかに関係なく、全体的に注意深く確認してください。不審な履歴を見つけた場合は、当該機関またはサービスに通知し、必要に応じてアカウントを凍結してください。わずかな料金でも大きな問題を示している可能性があります。これは、情報が実際に公開されており、大規模な購入に使用される可能性があるためです。もしあなたのUberアカウントが不正使用されていると思われる場合は、こちらのサポートページ(アカウントがハッキングされた可能性がある)から連絡することが可能です。
2. 設定の更新
パスワードの変更に加えて、プライバシー設定が含まれます。パスワードに関する限り、強力で階層化されたパスワードが最適であり、異なるプラットフォーム間で資格情報を再利用しないでください。さらに、定期的にパスワードを更新してください。これにより、データがさらに保護されます。パスワードマネージャーを使用すると、パスワードを安全に保管しながら、すべてを把握することができます。
3. 2要素認証を使用
強力で一意のパスワードは優れた防御の最前線ですが、アカウント全体でアプリベースの2要素認証を有効にすると、セキュリティーの層が追加され、データの悪用を防ぐのに効果的です。
4. あなたの信用を確認
米国の場合、住んでいる場所に応じて、あなたのすべての信用活動の集中レポートを保持するさまざまな信用調査機関があります。たとえば、米国の主要な代理店は主にEquifax、Experian、およびTransUnionです。同様に米国では、公正信用調査法(FCRA)により、これらの機関は少なくとも12ヵ月に1回は無料の信用調査を提供する必要があります。それは比較的迅速なプロセスであり、あなたは、住所情報が間違っていて、あなたの名前に誤って関連付けられている請求書に驚くことになるかもしれません。こちらから、米国連邦取引委員会(FTC)から無料の信用報告書の入手が可能です。他の国では、たとえば英国ではこのような無料の信用報告を提供するなど、同様のサービスを提供しています。
5. クレジットを凍結
クレジットを凍結すると、犯罪者があなたの名前でローンを出したり、新しいアカウントを開設したりすることができなくなります。これを効果的に行なうには、3つの主要な信用調査機関(Equifax、TransUnion、およびExperian)のそれぞれで信用を凍結する必要があります。
6. 個人情報の盗難防止策の使用を検討
McAfee Identity Theft Protectionのようなソリューションは、アカウントを監視し、上記のアクティビティーに加えて疑わしいアクティビティーを警告するのに役立ちます。さらに、マカフィー トータルプロテクションなどの包括的なセキュリティーソリューションを使用して、既知の脆弱性や新たな脅威からデバイスやデータを保護することができます。
7. 自身の目が最善の防御に
私たちが利用するすべてのテクノロジーにおいて、最善の防御は私たち自身の目です。見慣れない料金がアカウントに表示された際、細部に渡り確認し家族とフォローアップすることは、信用を良好な状態に保つのに有効です。
問題は、次のデータ侵害がいつ発生するか、その情報が発見されて最終的にユーザーに開示されるまでのタイミングが不明であることです。常に信用を維持することは重要ですが、最近のすべてのアプリ、アカウント、および全体的な利用頻度の増加など考えると、自身の目で良く確認するということは必須なのです。
信用調査会社についてやMcAfee Identity Theft Protectionなど、日本では当てはまらない項目もありますが、企業から漏洩したデータに含まれる情報には日本でも金融情報が含まれる可能性はあります。同様に注意しこういった機会に管理について検討いただければと思います。
最新情報を入手
デジタルの安全性を維持するための情報やマカフィー製品に関する最新情報、および最新のコンシューマーおよびモバイルセキュリティーの脅威に関する最新情報を入手するには、Twitterで@McAfee_Homeをフォローし、ポッドキャストHackableをお聞きください。
※本ページの内容は2020年8月27日(US時間)更新の以下のMcAfee Blogの内容に一部追記しています。
原文:Uber Data Breach and How to Protect Your Info
著者:McAfee
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
