狙われる個人情報 止まらぬハッカー被害

年間流出308万件の衝撃

©一般社団法人共同通信社

47リポーターズ

地方新聞社や共同通信の記者らによる署名入りコラム。 地方創生に絡む問題を多く取り上げ、新聞記事とは違った切り口で提供します。

今すぐ読む

 ハッキングによる個人情報流出が止まらない。共同通信は2015年から毎年、国内の企業や行政機関が公表した情報を基に、サイバー攻撃によって流出、または流出した恐れのある個人情報の件数を独自集計している。それによると、17年は少なくとも82組織が被害に遭い、個人情報などの流出は308万件に上った。流出したメールアドレスに、有名企業をかたった偽メールが送られ、さらに詳しい個人情報を盗み取られる「フィッシング詐欺」も横行している。脅威はますます身近になり、利用者もこれまで以上の「自衛策」が求められる時代になった。

 ▽カード情報53万件
 17年の公表被害のうち、件数が最多だったのは、眼鏡チェーン「JINS」を運営するジンズで、通販サイトを利用した顧客のメールアドレス約119万件が流出した恐れがある。うち約75万件には氏名、住所なども含まれていた。次いで、東京MXテレビが約37万件、東京都の都税支払いサイトが約36万件と続いた。

 18年に入ってからも被害は多発している。中央省庁の職員延べ約2千人のメールアドレスが、外部サイトに登録した際のパスワードと一緒に流出していたことが判明。前橋市では教育委員会が児童や生徒らの約4万7千人分の個人情報が流出した恐れがあると発表した。

 目立つのはクレジットカード情報の盗難だ。17年は東京都や住宅金融支援機構など46組織が被害を公表、合計53万件が流出した可能性がある。

 日本クレジット協会の調査によると、盗まれたカード番号による不正利用被害額は17年が176億円と過去最高になった。前年比で約2倍と急増しており、協会はサイバー攻撃の激化が関係しているとみている。

 チケット販売大手の「ぴあ」は、運営を受託しているサイトが攻撃を受け、約3万9千件のカード情報が流出した可能性があると公表した。不正利用は17年5月時点で379件、約880万円に上り、対応費用として2億円を超える特別損失を計上した。

 ▽脆弱性攻撃
 「日本は狙われている」。クレジットカード情報の漏えい調査を数多く手掛けるペイメントカードフォレンジックス(東京)の野崎周作(のざき・しゅうさく)社長は警鐘を鳴らす。

 「対策が後回しになっている実態を攻撃側も分かっている」

 ぴあへの攻撃は、ウェブサイト構築用のソフトウエア「アパッチ・ストラッツ2」のセキュリティー上の弱点(脆弱性)を突いたものだった。同ソフトは国内で多くの企業が使っている。開発者が、脆弱性と、対応する「修正プログラム」を公表したのは昨年3月初旬。その直後、脆弱性を狙ったサイバー攻撃が同時多発的に起きた。

 東京都が公表した約36万件のカード情報漏えいも同じ原因だった。
 サイト運営を受託しているGM0ペイメントゲートウェイの報告書によると、脆弱性公表から約17時間後に何者かがネット上に「攻撃手法」を公開。間もなくシステムに侵入された。

 セキュリティー会社S&Jの三輪信雄(みわ・のぶお)社長は「攻撃者は深刻な脆弱性の情報が出るのを待ち構えている。素早く攻撃ツールを作成し闇サイトで販売している」と指摘する。
 被害を防ぐためにはハッカーの攻撃スピードよりも早く対策をする必要がある。サイトを運営する企業や行政機関には、脆弱性情報を見逃さず、迅速にソフトを修正できる体制作りが求められている。

 ▽リスト型攻撃
 昨年5月、ラジオ局InterFM897(東京)に外部機関から「ツイッターに個人情報が投稿されています」と連絡が入った。調べると、過去にサイトで行ったクイズに応募したリスナーの名前、住所、電話番号など2728件が漏れていたことが判明した。

 原因は「SQLインジェクション」と呼ばれる攻撃と分かった。データベースのシステムに不正な命令文を送ることで、データをごっそりと盗む「古典的な手口」(セキュリティー専門家)。サイトの脆弱性をきちんとチェックして対策しておけば防げるはずだが、依然として多くの企業が被害に遭っている。

 「パスワードリスト型」と呼ばれる攻撃も引き続き目立っている。どこからか流出したID、パスワードのリストを使って、他のサイトで不正ログインを狙う手法だ。消費者が複数サイトで同じパスワードを使い回すことが、被害につながる。

 攻撃者はコンピュータープログラムを使って大量ログインを試す。多くの場合、その一部でログインが成功してしまう。

 東邦ガス(名古屋市)では昨年10月、1万5千回のID、パスワードの「機械的な」(同社)入力があり、うち最大103件で不正ログインされた。氏名や電話番号などが漏れた可能性がある。

 デロイトトーマツサイバーセキュリティ先端研究所の岩井博樹(いわい・ひろき)氏は「IDとパスワードはどこかで漏れているという意識を持った方がよい」と言い切る。

 その上で①ID、パスワードの使い回しをしない②ログイン時にID、パスワードに加えて、ワンタイムパスワードを入力させる2段階認証といったサイト側のセキュリティー対策を見極めてサービスを使う―ことが必要と指摘している。(共同通信サイバー報道チーム=北本一郎)

以下の「同意する」ボタンを押すことで、またはこのページ内のリンクをクリックすることで、ノアドット株式会社が別途「プライバシーポリシー」に定める「アクセスデータ」を取得し、利用することを含む「nor.利用規約」に同意することになります。お客様は、プライバシーポリシー記載の所定の手続きにより、アクセスデータを管理できます。