少し前に日本年金機構からの情報漏洩が世間を騒がせました。これが発表されたのが平成27年6月1日ですが、この事件にまぎれていますが、その前後にいろいろな組織から情報漏洩がありました。同年5月29日には、サンリオの株主向けサイトから株主の個人情報が漏洩したことが発表されました。
http://www.sanrio.co.jp/information/20150601/
また、同年6月10日には、東京商工会議所のセミナー参加者の個人情報が漏洩したことが発表されました。
http://www.tokyo-cci.or.jp/page.jsp?id=59029
東京商工会議所は、”個人情報漏えい共済制度”というサービスを提供していますが、加入の必要性を身をもって知らせてくれたのでしょうか。
https://www.tokyo-cci.or.jp/kyosai/file/kyosai024.pdf
それはさておき今回は、被害の大きさとか影響ではなく、盗んだ方法と目的について考えてみます。
日本年金機構の情報漏洩の経緯が報道されるにつれて”標的型攻撃”がクローズアップされています。
標的型攻撃を簡単に説明すると、ターゲットとなる組織の中の人に対して、その組織の業務にいかにも関係ありそうな内容のメールを送り付けることで、警戒心なくそのメールの添付ファイルを開かせたり、メール本文中のハイパーリンクをクリックさせる攻撃手法のことです。
当然、添付ファイルやリンク先に不正なプログラムが仕込んであるので、そのPCは外部から遠隔攻撃する拠点にされてしまいます。
日本年金機構と東京商工会議所のケースはこの攻撃を受けたようです。しかし、サンリオの件は、標的型攻撃のターゲットになったわけでありません。運用委託先の会社の中の人が流出させたようです。これからしばらくは、標的型攻撃と内部犯が情報漏洩の2大原因となると思われます。やはりソーシャルハッキング的なやり方が防ぐことが困難ですから。
盗んだ方の目的はいずれも、名簿を業者に売ることです。
驚くのは、その名簿を購入して普通に?テレアポやダイレクトメールなどの営業活動をしている企業が結構あるということです。確かに見込み客の名簿はどの企業も欲しわけですが、欲しいからこそあの手この手を駆使して合法的に個人情報を集めようとがんばっているわけです。漏洩した情報を買って営業活動するとすぐにばれますのでまともな人はやめておいた方が良いです。
マイナンバー制度が導入されれば、個人のマイナンバーを含む名簿だったら今よりはるかに高値になると思われます。情報の使い方は営業ではなくて完全にもっと悪いことなわけですが。マイナンバー導入を機にいろいろなセキュリティ技術が導入されれば、単純な外部攻撃や従業員のケアレスミスでは漏洩しにくくなるとは考えられますが、人間の心理につけこんだソーシャルハッキングはなかなかなくならないと想像できます。