個人情報が犯罪者にとって
おいしいターゲット
さまざまなサイバー犯罪が存在し、世間を騒がされることも少なくない。ニュースなどで報道されることや、多くの機関や企業が注意を喚起していることなどから、サイバー犯罪に対して気を付けている人も少なくないだろう。
ところが、中には「自分が気を付けていても、被害に遭う」可能性があるパターンもある。企業への不正アクセスはその代表例だ。
飲食店での支払いやホテルのチェックインなどはもちろん、オンラインサービスへの会員登録をしたり、クレジットカードやデビットカードの購入履歴を確認したりする場合もあるだろう。それらを、個人情報として企業が管理することになる。
しかし、企業が不正アクセスの被害に遭うと、それらの情報が犯罪者の手にわたってしまう。金銭的損害を被るだけでなく、信用情報までも下落する可能性がある。多くの人数が被害に遭うことが多いため、ニュースなどで報道されることも少なくない。
もちろん、企業側が100%悪いというケースは少ない。我々が気にしておきたいのは、多くの個人情報を持っている企業や組織は、サイバー犯罪者にとって“おいしい”ターゲットだということだ。
ユーザー自身が注意していても、企業から情報が漏れてしまっては、我々に防ぐ手段がないように思えるかもしれない。ただ、対策がないわけではない。
パスワードの使い回しは厳禁
企業からデータが流出してしまった場合、ユーザー側はどうするべきだろうか。まず、その企業のサービスなどを利用していた場合は、自分のオンライン上での安全性に影響があるかもしれないことを認識しなければならない。
重要なのは、流出に「気付く」という視点を持つこと。個人情報の盗難に関する兆候を知り、気づいた場合には対処することが、被害を最小限に抑えることにつながる。
たとえば、SNSや各種サービスのアカウントの設定を日頃からチェックしておくのは重要だ。不審な履歴を見つけた場合は、パスワードを変更したり、プライバシー設定を更新したりといった措置を講じたい。
また、自分名義の未開設の新しい口座を見つけたり、身に覚えのないクレジットカードの請求が届いたりしたときは、金融関連の個人情報盗難の可能性がある。急いで該当機関に確認するべきだろう。
自分の信用情報を確認するためには、日本信用情報機構へ問い合わせる手段がある。もし、信用情報の中に不審なものを発見した場合は、該当の金融機関などに連絡して確認。個人情報の盗難の疑いがある場合は、各都道府県の警察のフィッシング報告専用窓口などに相談しよう。
関連して、避けたいのはパスワードの使い回しだ。なぜなら、企業から顧客のパスワードを含む個人情報が流出してしまった場合、他のサービスでも同じパスワードを使い回していると、そこから不正アクセスを許してしまう可能性がある。
今回は、McAfee Blogから「データの漏洩後に個人情報を保護する方法」を紹介する。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
データの漏洩後に個人情報を保護する方法:McAfee Blog
あなたの個人情報がデータ漏洩に巻き込まれた可能性があるというお知らせを受けたとします。あなたの情報が詐欺師やサイバー犯罪者の手に渡ってしまった場合、被害に遭わないための対策を講じることができます。
そもそも、個人情報はどのように収集されるのでしょう?私達は日常生活を送っている中で、飲食店での支払いやホテルにチェックイン、近所のカフェで特典をもらったりなど、様々な理由で企業に個人情報を共有しています。また、クレジットカードやデビットカードも使い、オンライン上で購入履歴を確認する場合もあります。
このように私達は最近、あらゆる場所で個人データの痕跡を残してしまっており、それらのデータはハッカーにとって高い価値があるものといえます。今回は何らかの理由で自分の個人データが漏洩した可能性がある場合に、個人情報を保護する方法をご紹介します。
残念なことにデータ漏洩は現実に起きている
何百万件もの記録が流出する大規模な情報漏洩や医療機関を襲った数千件の情報漏洩のような小規模なものまで、情報漏洩は定期的に発生しており、私達自身が被害を受ける可能性も十分ありえます。情報漏洩の内容や企業や組織と共有している情報の種類にもよりますが、以下は情報漏洩で盗まれた情報の主な例です。
・ユーザー名とパスワード
・電子メールアドレス
・電話番号と自宅の住所
・友人や家族の連絡先
・誕生日、運転免許証の番号
・クレジットカードやデビットカードの番号、銀行口座情報
・購入履歴や口座の利用状況
・マイナンバーカード情報
詐欺師などサイバー犯罪者達は、このようなデータを手に入れて、自分で詐欺などに悪用します。また、データを他の犯罪者に売ることもあります。いずれにせよ、クレジットカードやデビットカードの不正使用、銀行口座情報の流出、被害者名義の税金還付や医療費の請求など、最悪の場合は他人のIDに完全になりすましなど、様々な犯罪を行なう可能性があります。
近年、発生したデータ漏洩の事例
被害者のあらゆるデータは、これまでの人生の様々な面を表すポテンシャルを秘めており、それぞれに金銭的な価値があるため、それ自体が一種の通貨であるといえます。そして近年、それら個人情報を狙った大規模な情報漏洩事件がよくニュースになっているのは何ら不思議ではありません。以下では、ここ数年間で発生したデータ漏洩事件の例を紹介します。
ベネッセの個人情報流出
日本最大級の情報漏洩したケースとして知られているのが、2014年に日本国内の教育および出版業界の大手企業であるベネッセのデータベースが攻撃された事件です。当時、データ漏洩に関する調整担当だった外部のシステムエンジニアが個人情報を外部に売却したことで顧客の機密情報が流出しました。
三菱電機と防衛相のデータ流出
2019年6月に三菱電機のシステムが中国のハッキンググループからサイバー攻撃を受けました。これは日本と中国の防衛、航空宇宙、化学、人工衛星産業をターゲットにしており、機密データへのアクセス権限を盗むための弱点を見つけ、防衛省のデータも流出したことが確認されました。
東京オリンピック2020
2021年7月、東京オリンピック2020のチケット保持者とボランティアの認証情報がインターネット上に流出しました。ハッカー達は盗んだユーザー名とパスワードを使用して、ボランティアやチケット保持者専用のウェブサイトにログインして犯行に及び、これによって、氏名や住所、銀行口座情報などの情報も流出しました。
病院を狙ったサイバー攻撃
2021年10月、徳島県の半田病院で、電子カルテを管理するサーバーがサイバー攻撃を受け、患者約85000人分の電子カルテが閲覧できなくなりました。VPNの脆弱性を狙った手口で、ランサムウェアによる身代金の要求がありましたが、払わないでシステムを一から再構築し、元の状態を取り戻すまでに約2ヶ月かかりました。
森永製菓へのサイバー攻撃
2022年3月、森永製菓株式会社は、サイバー攻撃によって約165万人分の氏名、住所、連絡先などの顧客情報が流出した可能性があると発表しました。ネットワーク機器の脆弱性を狙われ、社内の複数サーバーが不正アクセスされてしまい、ロックがかけてられて一部データが利用できなくなりました。
これらは大規模な情報漏洩の一例です。しかし最近は、中小企業もサイバー攻撃の標的になっており、日本国内でも中小企業の被害事例が報告されています。また、飲食店や小売店では、POS端末のシステムにマルウェアを侵入させてカード情報を流出させて、不正使用されるという事例も起こっています。
データ漏洩対策と安全性を維持する方法
もし、企業がデータを流出してしまった場合、その企業を利用していたユーザーは、自分のオンライン上での安全性に影響があるかもしれないということを認識しておく必要があります。仮にカフェの顧客情報が流出した場合、顧客の個人情報や財務情報が流出してしまう可能性がありますが、オンライン上の安全性が完全に断たれてしまうなどそこまで絶望的に落ち込む必要はありません。情報漏洩の影響を受けた可能性がある場合でも、起こりえる二次的被害から身を守るための方法はいくつかあります。
1.銀行やクレジットカードの口座を常に監視する
口座の利用明細を確認することは、何者かが自分の口座を不正利用しているかどうかを見分ける最も効果的な方法の1つです。もしも、身に覚えのない請求があった場合は、すぐに銀行またはクレジットカード会社に報告するようにしましょう。銀行やクレジットカード会社は、詐欺への対処方法を兼ね備えています。また、不審な買い物や取引、引き出しを警告するサービスがあるかどうかも確認しましょう。
マカフィーが提供するクレジットモニタリングサービスを利用することで、自分の口座などを見張ることができます。信用情報や報告書、アカウントを常に監視し、迅速な通知とアドバイスを提供することで、個人情報の盗難に対処できるようになります。
2.セキュリティサービスを利用して自分のIDを監視する
漏洩した情報や盗まれた情報は、しばしばダークウェブの市場に流れ、それをハッカーや詐欺師、窃盗団が購入し、さらなる犯罪を企てます。以前は自分の情報がそのような市場に出回っているかどうかを確かめることは困難でしたが、現在ではID監視サービスがあなたの代わりに検出作業を行なってくれます。
マカフィーは、電子メールや政府機関のID、クレジットカードや銀行口座情報など、ユーザーの個人情報をダークウェブ上にあるかどうかを常に監視しています。もし、ダークウェブ上でユーザーのデータが発見された場合はすぐに警告が表示されなど、個人情報を安全に保護することができます。また、ウェブサイトやブログ記事を通して自身の個人情報の安全性を高めるための方法を学ぶことができるのも魅力的といえます。
3.信用情報を確認する
日本で自分の信用情報を確認するためには、日本信用情報機構(JICC) への問い合わせが必要です。これによって自分名義のクレジットカード情報などの信用情報が被害に遭っていないかどうかを確認することができます。もし、自身の信用情報の中に怪しいものを発見した場合は、該当の金融機関等に連絡して確認しましょう。個人情報の盗難の疑いがある場合は、お住まいの各都道府県の警察のフィッシング報告専用窓口に相談することをおすすめします。
4.定期的なパスワードの変更
自分が使用しているパスワードが強力で独自性があるものかどうかを確認します。多くの人は、SNSやオンラインバンクなどのアカウントでほぼ同じパスワードか、類似したパスワードを使用しています。万が一、パスワードのどれか1つが漏洩してしまった場合、サイバー犯罪者に一度に全てのアカウントにアクセスさせないためにも、パスワードを様々な種類の英数字を使用した予想のつきにくいものに設定しておきましょう。また、総合的なオンライン保護ソフトに搭載されているような、パスワードマネージャーを使用して、自分の情報を管理することもできます。
5.個人情報保護サービスの利用を検討する
このようなソリューションは、あなたのアカウントを監視し、不審な行為があれば警告を出すことができて役に立ちます。具体的には、当社独自のアイデンティティ保護サービスは、いくつかのタイプの個人識別情報を監視し、個人情報が盗まれた可能性がある場合に警告を出し、その脅威を無効化し、解決するサービスです。また、犯罪者が様々な手口で個人情報を盗もうとしてくるのを防ぐためのアドバイスも提供しています。前もってパソコンやスマートフォンに設定しておけば、常に情報を把握できるので仮に何か問題が起きてもすぐに対処することができます。
6.オンライン上での個人データをクリーンアップする
これは、たとえデータ漏洩に巻き込まれたことがない場合でも、定期的に実行することをおすすめします。事実、データを売買するブローカー企業は、世界中の数百万人もの人々の数千万以上に及ぶもの情報を収集し、販売しています。広告主がキャンペーンに利用したり、詐欺師がスパムメールや電話に利用したり、窃盗犯が個人情報の盗難に利用したりと、あらゆる人に販売されます。
7.オンライン保護ソフトを使用し、セキュリティツールボックスを拡張する
総合的なオンライン保護ソフトでは、上記で紹介したツールやサービスの他にも、オンライン上でユーザーを保護できる機能を提供しています。例えば、VPNはクレジットカードやアカウント情報を盗もうとする泥棒から保護するなど、オンライン上でのプライバシーを保ちます。また、ウェブブラウジング保護機能は、あなたの情報を盗もうとする怪しいウェブサイトや悪意のあるダウンロードの場合に警告を出すことで、デバイスやプライバシー、そしてIDを徹底的に保護します。データ漏洩が頻繁に起きる現代において、このようなセキュリティ対策は、もはや必要不可欠なものとなっています。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト