
近年IT化が進み、各企業の活動が大幅に効率化されました。しかしそれに伴い個人情報などの重要情報がデータベース化され、情報漏洩のリスクも大きくなってしまいました。
個人情報漏洩の事件は頻繁に報道され、流出させてしまった企業はその度に非難されますが、個人情報漏洩に対する決定的な対策方法は未だ存在しないように思えます。
自分の個人情報が漏洩していないかを確認したい場合、大きく分けて2つの方法があります。
1つ目はツールを使用して自分で調べる方法、2つ目は専門の調査会社に依頼する方法です。
今回はこの2つの調査方法について詳しく紹介します。また、もし漏洩していた場合の対処方と、漏洩を防ぐために事前に行える対策方法についても解説します。
個人情報漏洩の現状
画像出典:JNSA
日本ネットワークセキュリティ協会(JNSA)による「2018年情報セキュリティインシデントに関する調査報告書」によると、2018年の個人情報が漏洩した人数は、561万3797人で、インシデント件数は443件だったそうです。想定される賠償金額総額は2684億5732万円にも達しています。
個人情報漏洩の原因としては、第1位は「紛失・置忘れ」、第2位は「誤操作」、第3位が「不正アクセス」であると発表されています。個人情報漏洩というと、不正アクセスなどの外部からの攻撃を連想しがちですが、実際には紛失や置忘れ、誤操作などヒューマンエラーによる個人情報漏洩の方が多いことがわかります。
コンピュータで管理されている個人情報はデジタルデータであり、複製やコピーが簡単に行えます。もし漏洩が発生してしまったら、情報の完全な回収は不可能です。
実際の個人情報漏洩事件
日本国内で発生した代表的な個人情報漏洩事件をご紹介します。
- 2ちゃんねる個人情報流出事件
- ベネッセ個人情報流出事件
- 年金管理システムサイバー攻撃問題
2ちゃんねる個人情報流出事件
2ちゃんねる個人情報流出事件とは、2ちゃんねるの有料サービス「2ちゃんねるビューア」の利用会員の個人情報が、2013年8月、Torネットワーク上のOnionちゃんねる(Tor板)に大量に流出した事件です。流出した個人情報には、氏名や住所など登録者情報や、トリップ情報(なりすまし防止の認証機能)など約20万人の個人情報が含まれていました。
二次被害として書き込み主を特定する晒し行為が発生し、書き込み主は会社から退職勧告を受けたり、自宅にいたずらされたりするなど、深刻な被害を被りました。
参考:Yahoo!ニュース
ベネッセ個人情報流出事件
ベネッセ個人情報流出事件は、2014年6月、ベネッセが展開する教育サービスに会員登録をしている各家庭に、全く関係のない企業からダイレクトメッセージが届くようになったことで判明しました。
この問題を受け、ベネッセでは社内調査を行い、進研ゼミを始めとする展開サービスへの登録会員約2,900万件の個人情報が漏洩していることが判明しました。漏洩した個人情報には、保護者氏名、子供氏名、子供性別、子供生年月日、住所、電話番号、出産予定日、メールアドレスが含まれています。
ベネッセはシンフォームに会員情報管理を委託していましたが、実際にはシステム保守は別の業者に再委託され、管理業務は再委託先の従業員が行っていました。この過程で派遣社員が約20回、情報を持ち出したのが事件の原因です。
この派遣社員が持ち出した個人情報は、重複分も含めると約2億300万件にも上ります。その後、持ち出された個人情報は名簿業者への売却を経て、数十社に転売され、各社からダイレクトメールが届くことになりました。
この事件は、ベネッセが個人情報の取り扱いに関するルールを明確にしなかったこと、個人情報にアクセスできる人を制限しなかったことが要因となり発生したとされています。
参考:ITmedia
年金管理システムサイバー攻撃問題
年金管理システムサイバー攻撃問題とは、2015年5月、日本年金機構の年金管理システムに不正アクセスされ、約125万人の個人情報が流出した事件です。流出した個人情報には、氏名、住所、生年月日、年金番号、加入年数、被扶養者情報などが含まれています。
この事件は、不正なexe形式のファイルを添付したメールを職員が開封したことで発生したとされており、年金管理システムのセキュリティが不十分であったことが浮き彫りになりました。
参考:日経クロステック
ツールを使用して確認する方法
ここでは個人情報が漏洩していないかを確認するツールについて説明します。
たとえばFacebookなどのSNSやDropboxなどのWebサービスで使用しているアカウント(メールアドレス)とパスワードが漏洩しているかどうか、チェックしてくれるWebサイトやソフトウェアがあります。ここでは「Have I Been Pwned」「Firefox Monitor」「ノートン ダークウェブ モニタリング」の3つについて紹介します。
Have I Been Pwned
「Have I Been Pwned」はメールアドレスを入力するだけで、個人情報やパスワードが流出したかどうか確認できるWebサイトです。
「Pwned」とはネットスラングで、本来は「Owned」とつづるそうです。日本語にすると「やられた」「完敗した」などの意味になります。ちなみに「Have I Been Pwned」はセキュリティ研究者であるトロイ・ハント氏(Troy Hunt)が運営しているサイトです。トロイ・ハント氏はMicrosoft MVPの受賞経験もある立派な技術者です。
「Have I Been Pwned」のサイトで公開している、情報漏洩が明らかになったサイト数は2019年7月現在で387サイトであり、漏洩されたアカウント数は約82億件です。世界規模で見ると、膨大な件数の情報漏洩が起きてしまったことがわかります。
トップページにメールアドレスを入力する欄があるので、ここに自分のメールアドレスを入力します。
メールアドレスを入力して「pwned?」のボタンをクリックしましょう。もしメールアドレスに対応するパスワード情報が漏洩していると、以下のような画面になります。
「Oh no – pwned!」のメッセージと共に、情報漏洩しているWebサイトと、どのような情報が漏洩しているのか表示されます。
もし何も情報が漏洩していなかったら、以下のようなメッセージが表示されます。
「Good news – no pwnage found!」のメッセージが表示されます。これは入力したメールアドレスに関連するパスワードなどの情報が漏洩していないことを表しています。
漏洩した情報のデータベースは随時更新されており、流出件数や規模、そして流出元のサイトも公開されています。「Who’s been pwned」のメニューをクリックすると、実際にどのサイトから情報漏洩が発生したのか確認できます。その中にはAdobeやDropboxなど有名なWebサービスも含まれています。
Pwned Passwords(Have I Been Pwned)
「Have I Been Pwned」にはパスワードが流出しているかどうか確認できるページもあります。
「password」の入力欄に調査したいパスワードを入力します。もし入力されたパスワードが漏洩していると、以下のようなメッセージが表示されます。
「Oh no – pwned」のメッセージに続き「This password has been seen 4 times before」と表示されています。先ほど入力したパスワードは過去4回も情報漏洩していたようです。
試しにパスワードとして「123456」と入力してみた結果が以下の通りです。
パスワード「123456」は2300万回も情報漏洩していたようです。このような単純な文字列をパスワードとして使っている方は、今すぐパスワードを変更するべきだと言えます。
Firefox Monitor
「Have I Been Pwned」のようなサイトを日本語で公開しているサイトもあります。それが「Firefox Monitor」です。
「Have I Been Pwned」と同様にメールアドレスを入力して、それに関連する個人情報があるかどうか調査するサイトです。日本語に完全対応しているため、日本人にとってはこちらの方が使いやすいでしょう。
メールアドレスを入力して「データ侵害を確認する」をクリックすると、メールアドレスに関連した個人情報が漏洩しているかどうか確認できます。
このように完全に日本語で表示されます。ちなみにFirefox Monitorでは、先ほど紹介した「Have I Been Pwned」のデータベースから情報を取得しています。
ちなみに入力したメールアドレスに関する情報漏洩が無かった場合は、上のように「0個の既知のデータ侵害があります」と表示されます。この状態でしたら安心です。
ノートン ダークウェブ モニタリング
「ノートン」の愛称で有名なセキュリティ対策ソフトを販売しているシマンテックが、これまでになかったセキュリティ対策ソフトを公開しました。それが「ノートン ダークウェブ モニタリング」です。
このソフトはその名の通り「ダークウェブ」を「モニタリング」するためのソフトウェアです。ダークウェブとはインターネットの中でも通常のWebブラウザではアクセスできない領域の部分を指した言葉です。Googleなどの検索エンジンにもヒットせず、データは全て暗号化されています。
このような性質から、ダークウェブ内では不正アクセスにより入手した個人情報やクレジットカード番号情報などの売買が行われています。
「ノートン ダークウェブ モニタリング」は、自分の個人情報がダークウェブ上で公開されているかどうか確認するためのソフトウェアです。価格は税別で1年1台版で2,780円、2年1台版が5,560円、3年1台版が8,340円です。対応OSはWindows、Max OS X、Android、iOSの4つです。
「ノートン ダークウェブ モニタリング」で検出できる個人情報は、以下の7種類です。
- 住所
- メールアドレス
- 電話番号
- 保険証番号
- クレジットカード番号
- 銀行口座番号
- 運転免許証番号
ユーザー名やパスワードには対応していないため注意が必要です。
「ノートン ダークウェブ モニタリング」はあくまでもダークウェブ上に自分の個人情報が漏洩されているかどうか確認をし、もし情報漏洩があった場合に通知を出して、対処を促すためのソフトウェアです。ダークウェブへの情報漏洩を防止するようなものではありません。
もし情報漏洩が確認された場合、メールにて対処法のアドバイスなどが送られてきます。そのため被害が発生する前に対策を取ることもできます。
調査会社に相談する方法
上記では個人で対処できるツールでの方法を紹介しました。
しかし、ツールは本当に信頼できるのか、使用してみたけど情報漏洩に関してまだ不安がある場合は、調査会社に相談するのも一つの方法です。
実績のあるプロの調査会社であれば最新の動向や調査に関するノウハウも蓄積されていますので、ツールの表面的な調査では得られないような情報をより詳しく知ることができます。
万一、情報漏洩していた場合、時間が経つにつれて被害が拡大してしまう危険性も考えられます。無料相談を受け付けている調査会社もあるため、不安な場合はまず専門家に相談することをおすすめします。
個人情報の漏洩を詳しく調査する場合「フォレンジック」と呼ばれる調査が有効です。
フォレンジック調査については、以下の記事で詳しく説明しています。
個人情報が漏洩していた場合の対応
ツールでの個人調査をして、パスワードなどの情報が漏洩していた、あるいは別の方法で個人情報の漏洩が確認できた場合、以下で紹介する方法で対応しましょう。
メールアドレスやパスワードの変更
Webサイトのログインに使用しているメールアドレスやパスワードを変更しましょう。特にパスワードは変更後、厳重に管理することが必要です。
また管理の手間を省く目的で、他のサイトと同じパスワードを設定することは、あまり好ましくありません。漏洩したメールアドレスとパスワードをセットにして攻撃する「パスワードリスト攻撃」の標的になる可能性があるからです。同一のメールアドレスを使ってWebサービスを使用する場合は、パスワードは必ずユニークな文字列のものを設定しましょう。
不正利用が行われていないか確認
比較的セキュリティ対策がしっかりしているWebサービスの場合、ログイン履歴を公開しているものがあります。例えばGmailでは「アカウントのアクティビティ」のページで、「ログインしたブラウザ・アプリ」「ログインしたIPアドレス」「ログイン日時」を表示させることができます。
もし自分のアクセスではない第三者のアクセスを検知したら「他のすべてのGmailのウェブセッションからログアウトする」をクリックすることで、強制的にすべての端末においてGmailからログアウトさせることが可能です。
関連機関へ連絡(クレジットカード会社やサービス運営企業等)
漏洩した情報が、もしクレジットカード番号やWebサービスのログイン情報だった場合は、すぐに関連機関へ連絡を取りましょう。クレジットカード番号の場合、身に覚えのない請求が届いた場合は、すぐにカード会社に連絡を取ることが重要です。
また最近ではクレジットカード番号の情報漏洩が発覚すると、すぐにニュースサイトなどで報道されるケースが多くなっています。もし自分が使っているWebサービスにてクレジットカード番号の情報漏洩の報道を確認しても、まずは落ち着いて対処しましょう。報道されている時点で、流出したクレジットカード番号は無効になっているはずなので、あわてる必要はありません。
情報が漏洩していなくても行うべき対策
ここで紹介した方法で個人情報の漏洩が確認した結果、漏洩していなかった場合においても、普段から以下のような対策を行うことが重要です。
OSやソフトウェアのアップデート
WindowsやMax OSなどのOSやMS Officeなどのアプリケーションソフトウェアの定期的なアップデートを欠かさないようにしましょう。ソフトウェアには脆弱性が付き物であり、開発者は脆弱性を発見次第、すぐに修正を行い、最新版のソフトウェアを公開しています。
特に脆弱性の発見から開発者による修正のタイムラグを利用して攻撃する「ゼロデイ攻撃」による被害は深刻です。少しでも無防備な状態を短くするためにも、使用しているOSやソフトウェアのバージョンアップ情報を定期的にチェックし、常に最新のバージョンのソフトウェアを使用することが重要です。
ID・パスワードの工夫
日常的に使うIDやパスワードに工夫をして管理するのもおすすめです。現在は様々なWebサイトがIDやパスワードによるログイン機能を設けていますが、それぞれのサイトで別々のパスワードを設定するのは、大変ですし記憶するのも難しいでしょう。
パスワードを設定する時に使えるちょっとしたテクニックを紹介します。例えばパスワードとしてベースとなる文字列を1つ決めて、ログインするWebサイト別に特定の文字列を追加してパスワードとして利用する方法です。
例えば、ベースとなる文字列が「abcdefg」とした場合、Twitterなら「_tw」、facebookなら「_fb」のようにWebサービスの略語を追加して使うのです。この場合、Twitterのパスワードは「abcdefg_tw」となり、facebookなら「abcdefg_fb」となります。考え方としては少し安易な気がしますが、パスワードリスト攻撃のような機械的な攻撃に対しては有効に働きます。
これと同じような方法がGmailのメールアドレスでも使えます。Gmailではアカウント名に「+」を付けて追加した文字列を、文字列を追加していないアカウント名と同じように扱います。例えば、
emailaddr@gmail.com
emailaddr+fb@gmail.com
emailaddr+tw@gmail.com
このようにアカウント名の後半に「+fb」や「+tw」を付けたメールアドレスを使用しても、実際には「emailaddr@gmail.com」のアカウントとして処理され、このメールアドレスにメールが届きます。つまり「+」の後にログインするWebサイト別のユニークな文字列を設定することで、メールアドレスもWebサイトごとに使い分けることができるのです。
例えば仮にTwitterから情報が漏洩した場合、対応するメールアドレスとして「emailaddr+tw@gmail.com」を使用していれば、すぐにTwitterから個人情報が漏洩したことが分かるようになります。これはGmail限定の仕様ですが、このような方法でメールアドレスを使い分けるのも一つの方法です。
情報漏洩に適したセキュリティ製品を導入する
マルウェアは1日に100万種超の勢いで増殖し続けており、セキュリティソフトによるマルウェア対策も限界を迎えつつあります。従来のセキュリティソフトで防御できるマルウェアは全体の約45%と言われており、マルウェアの侵入を防ぐセキュリティ対策を用いてマルウェアに対処することは不可能といっても過言ではありません。
しかし、現代のマルウェアに対応したセキュリティ製品は一定数存在しています。たとえばマルウェア感染後の監視型駆除や、外部との不正通信(情報漏洩)を検知・遮断する、新しい機能を持ったセキュリティ製品であれば、情報漏洩をもたらす悪質なマルウェアへの対策が可能です。
おすすめ製品については、下記の記事で紹介しています。
個人情報漏洩に対応/おすすめ調査会社
個人情報が流出していた漏洩していた場合、迅速に「被害範囲」「感染経路」「漏洩した情報の範囲」等のインシデントにかかわる情報を調査する必要があります。
情報漏洩について調査する業者には知識のある担当者が在籍しており、詳しい相談内容を聞いてもらうことができます。
ここでは、実績のあるおすすめの調査会社として「デジタルデータフォレンジック」を紹介します。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。フォレンジック調査に対応している業者では珍しく個人のハッキング調査にも対応している特長があります。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。
相談から見積もりまで無料で行っているので、フォレンジック調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。
費用 | ■相談から見積もりまで無料 ※機器の種類・台数・状態によって変動 |
---|---|
調査対応機器 | RAID機器(NAS/サーバー)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど |
調査実施事例 | 警察からの捜査依頼(感謝状受領)、パスワード解除、ハッキング・不正アクセス調査、データ復元、マルウェア・ランサムウェア感染調査など |
特長 | ■大手企業や警察を含む累計23,703件の相談実績 ■個人での調査依頼にも対応 ■「Pマーク」「ISO27001」取得済のセキュリティ |
デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ
まとめ
個人情報漏洩の確認方法と、漏洩に向けた様々な対策について紹介してきました。
生活をより豊かに、より便利にするためにインターネットは欠かせない技術になっています。そのために個人情報をインターネット上に保存する必要がありますが、ずさんな管理をしている企業が多いのは確かなようです。まずは信用できる企業にのみ個人情報を預けるようにしましょう。万が一情報漏洩が疑われた場合は、個人で対処する方法の他に、専門の調査会社に相談を検討するのもひとつの方法と言えるでしょう。