海外でも頻発している!個人情報漏えい事件

これから企業は多くのマイナンバーを管理することになりますが、危惧されるのは情報の漏えいです。国内では日本年金機構の情報漏えい事件をはじめ、海外でも大規模なサイバー攻撃による漏えい事件が起きています。

海外で頻発する情報漏えい

マイナンバー制度の開始により、企業では多くのマイナンバーを管理することになりますが、それにともない個人情報の漏えいが危惧されます。

日本では日本年金機構をはじめとする情報漏えい事件が相次いでいますが、海外でも同様に、個人情報を狙ったサイバー攻撃が頻発しています。

法人・団体からの漏洩事故

事業遂行のため大量の顧客情報を取り扱うことが多く、住所・氏名・電話番号以外にも、メールアドレス、クレジットカード番号、銀行口座情報、特定の商品やサービスの利用履歴、家族構成、病歴などのプライバシー情報といったように、各法人の目的にもよるが保持しうる情報は幅広い。

ひとたび流出し、悪意のある第三者にコピーされれば大規模な流出事故になる可能性があり、また各個人に対する二次的被害が発生するおそれがあるため、当該個人情報が流出せぬよう徹底的な管理が求められる。

そのような中で流出事故を起こしてしまうと、社会からの信用が失墜するばかりか、流出被害に遭った各個人に対する補償による損失も起こり、株式暴落など企業存続に直結する事態にもなりうる。

第62回会議(安保法制、年金問題) - 2015年開催分 - 「報道と読者」委員会 - 共同通信社 (41184)
日本年金機構の個人情報流出について

1.事象の内容

日本年金機構において、職員の端末に対する外部からのウイルスメールによる不正アクセスにより、日本年金機構が保有している個人情報の一部が外部に流出したことが、5月28日に判明しました。

現時点で流出していると考えられるのは、約125万件です。

2.事象の原因

電子メールのウイルスが入った添付ファイルを開封したことにより、不正アクセスが行われ、情報が流出したものと認められます。

2015年5月、日本年金機構が標的型メール攻撃を受け、職員のPCが不正操作されてファイルサーバーに保管していた約125万件の年金情報が漏洩したとのことです。
捜査が進むにつれ攻撃者のアドレスがフリーメールだったとか、添付書類の拡張子が”exe”なのにうかつに開いてしまったというお粗末な運用実態も次々に明るみになっています。

年金機構は当然セキュリティ対策としてウィルスチェックソフトを運用していたと思われますが、標的型メールは独自にカスタマイズされていることが多いのでウィルスパターンをすり抜けて検知されないことがあるようです。

アメリカ 政府職員400万人分の個人情報が流出

米政府職員400万人の個人情報流出、中国政府関与と現地紙 スピアフィッシングに利用か

アメリカ政府は4日、連邦政府機関の職員の個人情報を管理する人事管理局(OPM)のコンピューターシステムがサイバー攻撃を受けた事が判明したと発表した。

400万人の現役及び元連邦政府職員の個人情報が流出・破壊された可能性がある。

複数の米メディアや英国メディアによれば、FBIなどの米捜査当局は、攻撃は中国発のものだとみているようだ。

ハッカーたちの背後で中国政府が糸を引いている可能性も高いが、政府職員の個人情報を狙った真の目的は不明だ。

米・人事管理局にハッキング、政府職員400万人分の個人情報流出か

米連邦政府職員の人事を管理する米・人事管理局が4日(現地時間)、連邦政府職員の個人情報がハッキングされた可能性があると発表した。

最大で400万人分の個人情報が流出した可能性があるという。

人事管理局では、ハッキングの痕跡を4月に把握。

現在は国土安全保障省の専門家チームおよびFBIと連携して事実の確認と機密情報を保護するための追加のセキュリティ対策を実施しているという。

同局は個人情報が盗難された可能性のある職員と元職員400万人に向けて、8日から通知を行うとしている。

アングル:オバマ政権、サイバー攻撃で「犯人名公表」に方針転換| Reuters (41190)
米政府機関にサイバー攻撃、400万人分の情報流出か

TBS系(JNN) 6月5日(金)12時12分配信

アメリカ政府はコンピューターシステムがサイバー攻撃を受け、政府の職員と元職員およそ400万人分の個人情報が流出した可能性があると発表しました。現地メディアは「中国が攻撃した」と伝えています。

アメリカ政府の職員情報を一元的に管理する連邦人事管理局は4日、今年4月にコンピューターシステムが不正に侵入された形跡を発見したと発表しました。このサイバー攻撃で政府の職員と元職員およそ400万人分の個人情報が流出した可能性があり、FBI=連邦捜査局が捜査に乗り出しているということです。

アメリカ史上最大の個人情報流出事件に発展する可能性が濃厚ですが、現地のメディアは、一連のハッキングは中国が行ったとする政府高官の話を伝えたほか、内務省も同様の被害にあっていると報じています。(05日10:40)

韓国では1億件が漏えい

韓国で、1億人分を超えるクレジットカードや銀行口座に関する個人情報が盗まれていたことが分かり、クレジットカード会社に対する怒りや訴訟の動きが高まっている。

朴槿恵大統領や国連の潘基文(バン・キムン)事務総長の個人情報も含まれているとされ、21日には被害に遭った銀行の支店に、預金が無事かどうかを確認しようとする顧客が押し寄せた。

韓国で1億人超の個人情報が流出、カード大手3社や決済の銀行から

韓国で過去最大規模の個人情報の流出が発生、対応に追われているした。
韓国検察庁は2014年1月初旬、地場クレジットカード大手3社で合計1億400万人分(重複データを含む)の個人情報流出があったと発表。
韓国金融監督院によると、3社は系列銀行や他の銀行と個人情報データを共有しており、こうした銀行の個人情報1500万~2000万人分も流出した可能性があるという。
SankeiBizが1月29日、現地英字紙のコリア・ヘラルドなどの情報として報じた。

個人情報が流出したのはKB国民カード、NH農協カード、ロッテカードの3社。情報を持ち出したのは情報セキュリティー会社の社員で、委託業務先で個人情報をUSBメモリーにコピーし、一部を業者などに売っていたとみられている。

この3社が系列銀行のKB国民銀行やNH農協銀行をはじめ、カード決済を担当していた商業銀行と個人情報データを共有していたため、これら金融機関の個人情報がさらに流出したようだ。

1億件の顧客カード流出事件の全貌、「規定を無視した人災」と当局が指摘

──韓国日報 2014年2月13日

金融監督院は2月13日、国会での機関報告で1億400万件の顧客情報流出事件について全般的な説明を行った。
一言で要約すると、KB国民カード、ロッテカード、農協カードが電子金融監督規定を無視して発生した人災とのことである。

今回の事故は、個人信用評価専門企業であるコリアクレジットビュロー(以下、KCB)の社員が、カード不正使用防止システム(FDS)の改善作業用としてカード会社から借りた個人情報(生データ)を、セキュリティプログラムが設置されていないPCからUSBメモリーに複写することから始まった。

事故発生の時期はロッテカードが2013年12月、KB国民カードが同年6月、農協カードが2012年10月と12月である。

全文表示 | 韓国の「米軍慰安婦」を英BBC報じる 韓国政府による「積極的な関与」があった : J-CASTニュース (41196)

増加するサイバー攻撃の陰にブラックマーケット (闇市場) の存在

サイバー攻撃で流出した個人情報は、その後ブラックマーケットで取引されます。

ブラックマーケットの市場規模は数千億円にのぼり、取り引きをしている組織の中には、構成員が7万~8万人規模で、数十億円もの収益を上げているところもあるといわれています。

ブラックマーケット

不正に入手したクレジットカード情報、個人情報などを売買し、犯罪の支援活動を商売にしているネット上の市場(闇市)のこと。

ブラックマーケットで取り引きされる情報の多くは、感染した不正ソフトウェアやフィッシング詐欺などで抜き出されたものです。
売買される情報は、クレジットカード情報や銀行口座番号などの個人情報が主です。
個人情報の価格は、抜き出されたユーザーの年収や社会的ステイタスなどによって変わりますが、1人数ドルから数十ドルで売買されるのがほとんどです。

また、流出した個人情報からクレジットカードを製作して使われたり、キャッシングなどで負債を負わされたりすることもあります。
いったん、流出した情報を削除するのは困難で、何度も転売されてしまうため注意が必要となります。
たとえ犯罪者を特定できても、国外にサーバーがあると逮捕はきわめて難しいのが現状です。

CoD:BO3:公式の「ブラックマーケット」チュートリアル映像が登場 | EAA!! - FPS News (41212)
ブラックマーケットの分業化

フィッシング攻撃を首尾よく開始して確実に利益を上げるには、グループ内で各自がそれぞれの役割をしっかりと果たすことが求められます。

(中略)

攻撃を成功させるために必要な役割をいくつか挙げてみましょう。

スパマー (スパム送信者): できるだけ多くの電子メールアドレス宛にフィッシングメールを送信します。
ウェブデザイナー: 見た目も作りも本物そっくりな偽ウェブサイトを作成します。

搾取者: 「スクリプトキディ」と呼ばれるハッカーが担うことが多い役割で、フィッシングサイトやスパム送信ホストとして利用する一般ユーザーのパソコン (ルート) をかき集めます。クレジットカード会社のデータベースに侵入してクレジットカード情報を直接盗み出し、フィッシングの手順そのものを省略してしまうこともあります。

キャッシャー (現金引き出し係): 盗んだクレジットカード情報や銀行口座情報を使って現金を引き出します。

ドロッパー (受け取り係): 盗んだクレジットカード情報で物品を購入し、追跡されない場所で受け取ります。物品を購入する際に、盗んだクレジットカードや銀行口座が使えるかどうかを確認 (carding) するため、「カーダー (carder)」と呼ばれることもあります。