日本経営管理教育協会が見る中国 第517回――磯山隆志

■アンダーグランド市場で販売

 5月17日、セキュリティ企業であるファイア・アイは、約2億件に及ぶ日本人の個人情報が、中国で販売されていたと発表した。ファイア・アイによれば、2017年12月に中国のアンダーグラウンドフォーラムで、個人情報が収録されたデータを販売する目的で広告が掲載されているのを発見したとのことである。

 この個人情報のデータには氏名、ID、パスワード、メールアドレス、生年月日、電話番号、住所といったログインやプロフィールに関する情報が含まれていたとされ、企業や中央省庁のものも含まれていたとされる。価格は1,000人民元で、この広告に対して複数人が購入に興味を示していたという。

■個人情報が流出した経路

 ファイア・アイの分析によると、このデータは小売や食品、交通、エンターテインメントなど、様々な業界の11から50の国内ウェブサイトから盗まれたと考えられている。具体的には、食品ブランドやゲーム関連のウェブサイトなどが情報源になったと推察されている。取得時期については、フォルダのラベルから2016年や2013年と見られる。

 データには過去の大規模な情報漏洩事件で流出したものが多く含まれており、これらのデータを集めて販売したものと考えられている。また、重複したデータも多くあったという。そのため、実際の個人情報の数は2億件には満たないと見られている。

■今回の影響

 ファイア・アイによれば、これほどの規模で日本人の個人情報が取引される例はないという。ただ、過去に漏洩した情報であるため、新たに大規模な攻撃がある可能性は少ないと予想されている。しかし、漏洩したログイン情報が、他のウェブサイトでも使用されていた場合には新たな攻撃に悪用される可能性もある。そのため、IDやパスワードの使い回しの危険性や、定期的な変更を呼びかけている。

■継続的な情報セキュリティ対策が不可欠

 これまで、何度も企業や公的機関において大規模な情報漏洩事件が発生し、社会を騒然とさせたことがあった。そして、その度に情報セキュリティを高める対策が採られてきた。社会的に情報セキュリティの意識は、以前よりは次第に高まってきたと思われる。しかし、巧妙な手口の新たな攻撃手法が生まれ、同様の事件が発生したと報道されることもある。

 近年では、標的型攻撃による情報漏洩が話題となっている。情報処理推進機構の情報セキュリティ10大脅威でも組織における脅威として、今年も続けて1位に挙げられている。情報セキュリティ対策に終わりはなく、地道な啓蒙活動も不可欠である。弱いところを探して狙い続ける攻撃者に対して、今後も企業においては全社的に継続的な取り組みが求められている。(写真は、個人情報データカードの例。提供:日本経営管理教育協会)