親愛なる読者諸君!
オタクパパだ!
以前、危うくLINEが乗っ取られそうになったことを報告した。
[st-card id=212 label=”” name=”” bgcolor=”” color=”” readmore=”on”]
原因を調べてみたところ、
知らないうちに
パスワードが
盗まれていた
ことが判明した。
[st-card id=263 label=”” name=”” bgcolor=”” color=”” readmore=”on”]
このとき、流出したパスワードは、
LINE, Yahoo, PSN
の3つのサービスでのみ使用していた。
だが、これら3つのサービスはいずれも、
「ウチのサービスは安全で
個人情報の管理も万全だ!
だから、他社のサービスが
個人情報流出の
原因じゃねえの?」
と主張していた。
しかし、私は、流出したパスワードを上記3つのサービス以外には使用していない。
すると、一体どこから私のパスワードが流出したのだろうか?
というわけで、今回は、
サイバー攻撃で
個人情報が盗まれた
流出原因と漏洩対策
について述べたいと思う。
【2019/01/15 追記】
個人情報が流出する主な原因
個人情報の流出の大部分は、個人の不注意によるもの
個人情報が流出する一番の原因は何だろうか?
実は、
個人情報の流出の約75%は
紛失・置忘れ、誤操作、
管理ミスなどの
個人の不注意によるもの
であることが、特定非営利活動法人 日本ネットワークセキュリティ協会の調査で明らかになっている。
出典 http://www.jnsa.org/result/incident/
上のグラフからも明らかなように
不正アクセスによる
ものはわずか8.0%
にすぎない。
だが、私の場合、どんなに思い返してみても、紛失・置き忘れ、誤操作、管理ミスなどの不注意からパスワードを流出させた記憶がさっぱりないのだ。
実際、私は、パスワードが流出しないよう、次のように細心の注意を払っている。
適切なパスワードの管理方法
1.パスワードを他人に話さない
2.人が見ている場所で絶対にパスワードを入力しない
3.共有のPCでパスワードを入力しない
4.私用のPCにセキュリティソフトを入れる
5.席を外すときは必ずログアウトする
6.パスワードは推測不可能な複雑なものを使う
上で述べたパスワードの管理方法は、基本的なものといえるだろう。
だが、人間である限り、どんなに完璧なパスワードの漏洩対策を講じていたとしても、予想もしないことから個人情報が流出してしまうこともある。
メディアで報道された個人情報の流出は「氷山の一角」にすぎない
ところで、TVや新聞などのメディアで、よく個人情報を流出が報じられることがある。
ここで気をつけなければならないのは、メディアに報道された個人情報の流出事件より漏洩が発覚されずに闇に埋もれた流出事件のほうが圧倒的に多いという点だ。
いうなれば、メディアに報道されたサイバー攻撃は、あくまで
氷山の一角
にすぎず、多くの個人情報が誰にも発覚されることなく、知らないうちに流出しているのだ。
実際、このように考えれば、LINE, Yahoo, PSNの3つのサービスのいずれもが、自社サービスの安全を宣言しているにもかかわらず、私のパスワードが流出した原因が、矛盾なく説明できる。
こんなことを書くと、次のように思われる方もいるかもしれない。
「大規模なサイバー攻撃が
ニュースで報道されない
わけがないだろ!
根拠もないのに
いいかげんなことを
いうな!」
だが、これは私の妄想ではなく、事実だ。
その証拠に
メディアに報道されなかった
サイバー攻撃の実例
をあげよう。
官庁へのサイバー攻撃がメディアでまったく報道されなかった実例
2017年3月9日、経済産業省(特許庁)所管の独立行政法人INPITの知的財産権の情報提供サイトである特許情報プラットフォーム(J-PlatPat)がサイバー攻撃を受け、1週間ほどにわたってサービスを停止した。
参考 http://www.inpit.go.jp/j-platpat_info/othersinfo/jppservice.html(現在はリンク切れ)
実際、サイバー攻撃を受けたINPITの説明によると、3月9日に
「外部からの攻撃を検知した」
と記載しており、サイバー攻撃を受けたことを明らかにしている。
不思議なことに、経済産業省(特許庁)所管のサービスがサイバー攻撃を受けたのに、どういうわけか、この事実は、
ニュースでまったく
報道されることがなかった
闇に葬り去られたサイバー攻撃の事実
私の知るかぎり、この2017年の経済産業省のサービスへのサイバー攻撃がメディアによって報道された事実はなく、いくつかの個人ブログのみがこの問題を取り上げているだけだった。
このサイバー攻撃がひと段落した後、私の同僚が意味深な顔をして、次のように話しかけてきたことが、今でも強く印象に残っている。
「なあ、いま
気づいたんだが
この国では
たくさんの官庁が
サイバー攻撃を
受けているのに
今回の件みたいに
ニュースでまったく
報道されることなく
闇に葬り去られている
のかもな・・・」
「一流」のクラッカーは、誰にも悟られずに個人情報を盗む
このように、必ずしもすべてのサイバー攻撃がニュースで報道されているわけではないのだ。
また、すぐに発覚されるようなサイバー攻撃は、二流以下のクラッカーによるものといえるだろう。
[st-midasibox title=”参考” fontawesome=”” bordercolor=”” color=”” bgcolor=”” borderwidth=”” borderradius=”” titleweight=”bold”]
クラッカー(cracker)とは、コンピュータ技術を悪用して他人のデータを盗み見たり、サイバー攻撃によってデータの破壊や改ざんなどを行う人のことだ。
一方、ハッカー(hacker)は、コンピュータ技術に精通した人のことだ。
[/st-midasibox]
二流以下のクラッカーと異なり、一流のクラッカーは、そもそもサイバー攻撃があったことさえ、まったく察知されずに個人情報を盗んでいる。
二流以下のクラッカーのサイバー攻撃の特徴:
サイバー攻撃がすぐに発覚し、メディアでとりあげられる
一流のハッカーのサイバー攻撃の特徴:
サイバー攻撃がすぐに発覚せず、また、発覚したとしても、ずっと後になって発覚する
その証拠として
米ヤフーで
10億人分もの
個人情報が流出した
というニュースをご存じだろうか?
出典 http://www.j-cast.com/2016/12/15286225.html
このニュースは、2016年12月14日(現地時間)に報じられたものだが、この報道には、1つだけ
奇妙な点
がある。
このニュースでは、
「13年8月に外部から受けたサイバー攻撃で10億人分を超えるアカウント情報が流出していた」
と報道されている。
そう!
このニュースは、実は、
3年以上も前の
個人情報の流出
について報じているのだ!
なぜ、3年以上も前の個人情報の流出が、今ごろになって報道されたのか?
その答えは簡単だ。
その当時、米ヤフーは個人情報の流出に気づいていなかったのだ!
実際、米ヤフーの説明によると、問題の漏えいは、2014年の5億件に及ぶアカウント情報が漏えいした件を調査したときに、判明したそうだ。
出典 http://www.bbc.com/japanese/38325082
このように、一流のクラッカーは、サイバー攻撃をまったく察知されることなく、個人情報を盗み取るのだ。
ここで、
「そんなバカな!
そんな漫画みたいな話
あるわけねーだろ!」
と思う人もいるかもしれない。
だが、2014年に起きた不正アクセスについて、米ヤフーは、アカウント情報が
「国家の後ろ盾」
を得た当事者に
よって盗まれた
とはっきり述べているのだ!
出典 http://www.bbc.com/japanese/37448066
この米ヤフーの発言は、民間レベルの二流、三流のクラッカーとは、まったく次元の異なる
国家レベルの
一流のクラッカー
の存在を示唆しているものといえるだろう。
また、上のニュースにおいて、英サリー大学のアラン・ウッドワード教授も、
「2014年の侵入が
これほど長いこと
気づかれなかった
というのは
とても心配だ」
と述べている。
これらの事実からも明らかなように、誰にも全く察知されずに個人情報を盗む「一流のクラッカー」は実在するのだ!
いったい誰が何の目的で、あなたの個人情報を盗むのか?
それでは、いったい誰が何の目的で、あなたの個人情報を盗むのだろうか?
上の記事によると、「ピース」と呼ばれるハッカーが、
ヤフー・アカウント
2億件について
情報を売却
しようとしていたことから、ヤフーの個人情報の流出の問題が明るみになったそうだ。
また、以前の記事で紹介した中国向けのプロキシサーバー業者の中継サーバーに約506万人分ものIDとパスワードなどの個人情報が保存されていたというニュースでは、
「約506万人分もの
個人情報の中には
日本の他にアメリカ
韓国、台湾の個人
情報も含まれていた」
ことが明らかになっている。
これらの情報を総合すると
個人情報の売買が
国際的に行われている
のだ。
一人あたりの個人情報の価格の相場はどれくらいか?
それでは、個人情報は、一体どのくらいの価格で取引されているのだろうか?
トレンドマイクロの情報によると、
「Yahoo!メールの
アカウントは、
1件あたり約0.6円で
闇取引されている」
そうだ。
出典 http://blog.trendmicro.co.jp/archives/4828
つまり、あなたの個人情報は
「1円未満の値段」
で取引されている
のだ!
(↓)あなたの個人情報の価値は、たったの1円以下だ。
ここで、
「え! 一流のクラッカーが
そんな安値で個人情報を
売って割に合うのかよ?」
と思う人もいるかもしれない。
だが、たとえ1つ1つのアカウントが1円以下の価値しかなかったとしても、
彼らは「億単位」で
個人情報を売買する
から割に合う
実際、上の2億件のヤフー・アカウントを売却することで、
2億×0.6円
=1億2千万円
もの利益が得られる。
だから、あなたの個人情報がたとえ1円以下の価値しかなかったとしても
クラッカーにとっては
あなたの個人情報を
盗む動機は十分にある
といえるだろう。
個人情報の漏洩対策
それでは、個人情報の流出対策としては、どのようなものがあるだろうか?
やはり
同じパスワードを
使い回さず
サービスごとに別々の
パスワードを使い分ける
しかないだろう。
このようにすれば、仮に、どこかのサービスからあなたの個人情報が漏れたとしても、他のサービスに対する不正操作を防ぐことが可能になる。
そして特に、ここがもっとも重要な点だが、
個人情報の流出が
ニュースで報じられて
いなくても、定期的に
パスワードを変更すべき
だ。
なぜなら、上であげた経済産業省のサービスの例のように、サイバー攻撃がまったく報道されることなく闇に葬りされるケースもありうるためだ。
また、米ヤフーの例のように、個人情報の流出が誰にも察知されないまま、長期間放置されるケースもある。
実際、私の周囲にも、個人情報の流出がニュース等でまったく報じられていないにもかかわらず、アカウントが勝手に不正使用された不可解な事例がいくつも寄せられている。
それゆえ、個人情報の流出がニュースでとりあげられないからといって、安心してはいけない。
なぜなら、今まさにこの瞬間にも
あなたの個人情報は
気づかないうちに
誰かに盗まれ
1円以下の値段で
外国に売却されている
かもしれないのだ。
というわけで、諸君もくれぐれも、個人情報の流出には気をつけてほしい!
オタクパパより愛を込めて!
コメント