Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

もう漏れているかもしれない「個人情報」

今週の新手詐欺

10月7日のニュースでお伝えしたが、オレオレ詐欺の被害額が8月で100億を突破した。2003年の被害額が43億円だったことを考えると、異常な速度で被害が広がっている。専門家の間ではこれら知能犯罪が反社会的組織の収入源となっている見方が強い。

今週の新手詐欺に関する情報を探してみると、2件ほど目に付いた。ひとつは、医師の家族をターゲットにした「オレオレ詐欺」。「患者を治療ミスで死なせてしまい、示談金が必要」と迫るものだ。都内で主婦が被害にあったほか、群馬県内でも同様の事件が発生している。

そしてもうひとつは、長野で発生した架空請求。幼児向け教材やパソコンを購入したユーザーに不審なハガキが届くという。ハガキでは法律事務所をかたり、それら購入品目について訴訟を起こすとほのめかし、金銭を要求する。

センシティブ情報と強い結びつき - 流通する個人情報

いずれの事件も特徴を捉えてみると、いずれも相手の「情報」を元に、詐欺行為を行おうとしている。パーソナルな情報を示すことにより、本人であることをイメージづけることがこの手の詐欺の「トレンド」だ。

たとえば前者は、「職業」がセンシティブ情報だ。信用情報や病歴などと比較すると、アンケートなど気軽に記入してしまいがちな情報だが、年収などを想定できるため、詐欺に活用されやすい。また、医師をはじめ、特定の業種では名簿が書籍として販売されるなど一般に流通しているケースも多い。注意が必要だ。

後者は、当事者しか知り得ない「購入歴」だ。他人が知り得ない情報が大量に出回っていることを考えると、個人情報が漏洩した可能性も極めて高い。

パソコンや幼児購入を購入したことが不法行為になるという不可解かつ稚拙な要求のため、詐欺と気がつきやすい。とはいえ他人が知り得る情報ではなく、相手が法律の専門家となのっているため、場合によっては被害が発生するかもしれない。

詐欺集団は流出元がわからないよう工夫

個人情報漏洩に詳しいコンサルティング会社の話によれば、個人情報が漏洩すれば、2週間ほどの間に数百の犯罪組織へ名簿が流通するという。そして名簿は転売が繰り返され、詐欺に用いられる。

それら名簿状には、当然パーソナル情報が掲載されており、それを用いた詐欺が行われるわけだ。とはいえ、流出元を堂々と名乗るような馬鹿なマネはしない。もし、流出元が特定されると、その企業にクレームが入り、漏洩の事実に気がついてしまい(あるいは漏洩した事実を公表せざるおえなくなり)、結果、ターゲットとなる消費者へ注意喚起が行われてしまうからだ。

企業が個人情報漏洩を理由に恐喝に遭うケースも多い。しかし、その時点でオレオレ詐欺や架空請求の効果が薄れ、リストの利用価値がなくなっていることがほとんどで、もはや手遅れのことが多いという。

もう漏れているかもしれない……

個人情報の保有は「大きなリスク」を抱えているのと同じだ。個人情報を保有する企業は、流出防止に務めるのはもちろん、つねに流出の危機を想定しておかなければならない。

個人情報の流出に関しては、今後に発生する可能性だけでなく、「すでに流出してしまっている可能性」も考慮せねばならない。今年漏洩が明らかになった長崎の通販業者の例では、1994年から1998年に漏洩した個人情報が、今年に入って大きな問題となった。流出件数も51万件と膨大だったのがさらに拍車をかけた。

同社は、業務を停止し、徹底した原因究明や情報公開により消費者からの信頼回復にある程度成功したと言われている。しかし、数カ月の業務停止により100億円前後も売上が減少したと見られ、事故処理の経費もかなりかさんだと思われる。

同社の漏洩時における対処がベストだったか、損害額が妥当だったかなどは、判断は難しいところだ。いずれにしても個人情報漏洩の代償も大きかったようだ。

危機管理体勢やマニュアル、リスクの移転などが行える保険の導入など、事故を想定した有効な手段を導入しておきたいところだ。セキュリティの強化なども含め、企業にはバランスの取れたセキュリティ投資が求めらている。

(Security NEXT - 2004/10/20 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Fluentd」向けプラグイン「parse Filter Plugin」に脆弱性
ふるさと納税書類を誤送付、システム設定ミスで - 川南町
「クラウドコンピューティングのためのセキュリティガイダンス 第4版」が公開中
11月のフィッシング報告は414件増の1396件 - 「Apple」関連が7割
MSのマルウェアスキャンエンジンに深刻な脆弱性 - 定例外アップデートを実施
個人データの海外移転、「国内同水準」要件でパブコメ - 個人情報保護委
ゴルフ大会参加者の個人情報が所在不明 - 毎日放送
漫才コンテスト「M-1」のプレス向けメールで誤送信 - 朝日放送
脆弱性2件を修正した「OpenSSL 1.0.2n」がリリース
多数メールクライアントに送信者偽装できる「Mailsploit」が判明 - 送信ドメイン認証では防げず