個人情報
近年、生活のさまざまな局面がインターネットへと移行し、オンラインでの行動が物理的な領域に直接影響を与えるようになってきました。特に大きな影響を受けているのはコミュニケーションの分野、そして個人情報の共有に関わる部分です。
Kasperskyの調査チームは、積極的に開示された個人情報と、意図せず公開されることになった個人情報がどのような結果に行き着くのかを掘り下げました。前者は「ドキシング」と呼ばれる行為によってさらされた個人情報、後者はダークウェブで販売される個人情報です。
ドキシングという脅威
「ドキシング」とは、誰かを困らせたり、傷つけたり、あるいは危険にさらすために、その人の個人的な情報を本人の同意なくインターネット上にさらす行為のことで、ネットいじめの一形態であるとも言えます。匿名で発信している人の本名や写真をさらす、勤め先や住所を公にするなどのほかに、その人の投稿へのコメントに電話番号を書き込んで嫌がらせの電話をかけるように促すなど他人に行動のきっかけを与えるようなものもあります。
ドキシングの被害に遭う可能性が高いのは、ジャーナリストや活動家や弁護士といった人々、または著名人ですが、特段目立たなくても、普通の人であっても、オンラインで何らかの発信をしたことからドキシングを受ける可能性はあります。
ドキシングを受けた人は強いプレッシャーにさらされることとなり、言論の自由が脅かされる事態となりかねません。また、ドキシングは現実的な「身の危険」につながる可能性があり、標的となった本人の周囲にまで影響が及ぶ場合もあります。
ドキシングは公に入手可能な情報を悪用した行為ですが、本来公開されないはずの情報が漏洩し、さまざまな被害につながる場合があります。また、漏洩した情報がアンダーグラウンドで流通し、これがドキシングに使われる可能性もあります。
個人情報の値段
ミレニアル世代の37%は、自分のような平凡な人間がサイバー犯罪の被害に遭うことはないだろうと考えています(英語記事)。しかし、現実はそうではありません。企業が不正アクセスを受けて顧客情報が盗まれた、という事件は世界各地で頻繁に報じられています。
漏洩した個人情報は、犯罪者によってどのように利用される可能性があるのか。Kasperskyの調査チームは、国際的なダークネットのフォーラムおよびマーケットプレイス10か所で提供中の情報を調査分析しました。調査によると、個人情報の価格は情報の深度と広がりによって異なり、最安値はIDの50セント(米ドル)でした。クレジットカード情報、銀行口座、電子決済サービスのアカウントなど、一部の個人情報については10年近く前から需要があり、それぞれの価格もここ数年で変化はありません。以下は、ダークウェブでの取引の分析から導かれた、個人情報のタイプ別価格帯です。※単位:米ドル。円換算は2020年12月1日時点での概算
| 個人情報はいくらで取引されているのか? | |
| クレジットカード詳細 | 6〜20ドル(約600〜2,000円) |
| 運転免許証のスキャン画像 | 5〜25ドル(約500〜2,600円) |
| パスポートのスキャン画像 | 6〜15ドル(約600〜1,500円) |
| サブスクリプションサービス | 0.5〜8ドル(約50〜800円) |
| ID(氏名、SSN、DOB、メールアドレス、モバイル番号) | 0.5〜10ドル(約50〜1,000円) |
| ドキュメント(パスポート、運転免許証)が写っている自撮り画像 | 40〜60ドル(約4,000〜6,000円) |
| 医療記録 | 1〜30ドル(約100〜3,000円) |
| オンラインバンキングのアカウント | 額面の1〜10% |
| PayPalアカウント | 50〜500ドル(約5,000〜50,000円) |
新しく取引されるようになった情報もあります。個人の医療記録と、身分証明書が写っている自撮り画像がそうですが、いずれも比較的高値が付いています。身分証明書を持って写った写真の数と、こうした写真を利用する犯罪手口はいずれも増加しており、共有した情報(特定の組織に提出したものであっても)が最終的にサイバー犯罪者の手に渡ってしまう可能性があることを示唆しています。こういった情報が悪用されると、本人へのなりすましやアカウントの乗っ取りなど深刻な事態が生じる可能性があります。
それ以外の個人情報が悪用された場合も同様です。ダークマーケットで売買される情報は恐喝、悪徳商法、フィッシング詐欺に利用される可能性があり、直接的な金銭の窃取にもつながりかねません。また、個人アカウントへのログイン情報データベースまたはパスワードのデータベースは、金銭目的での利用だけでなく、風評被害を生じさせる目的で使用されたり、ドキシングなど社会的な損害を与える行為に利用されたりする可能性があります。
リスクを知り、備える
プライバシーの重要性が認識されるようになり、多くの組織ではユーザーデータの保護に向けて新たな対策を講じています。しかし、当社の調査が示しているのは、自分が特に有名人でなくても自分の個人情報には需要があって悪用される可能性があるのだと自覚する必要がある、ということです。また、個人情報を悪用するのはサイバー犯罪者だけとは限らず、ドキシングのような形で使われることもあります。
個人情報の扱いを自分自身でも意識し、管理することが大切です。
- 誰でも見られる状態になっている情報があるかどうか確認する。例えば、よく訪れる場所の写真をSNSに投稿したとき場所をタグ付けしていないか、過去の投稿に家族の名前が書かれていないか、友達リストの中に見覚えのない人が混じっていないかなどを見直しましょう。
- 不用意に公開してしまっている情報が見つかったら、速やかに削除する。場合によっては、アカウント自体を非公開にする。
- アプリがどのような個人情報を持っているか確認する。例えばフィットネストラッカーの中には、位置情報を記録しているものがあります。そういった情報が公開されないように、設定を見直しましょう。
- ハッキングされて個人情報が盗まれるようなことがないように、アカウントとデバイスを保護する。強力なパスワードを使用し、可能であれば2段階認証を設定してください。パスワードは、決して使い回さないようにしましょう。また、フィッシングや悪意あるWebサイトやマルウェアからアカウントとデバイスを守るため、セキュリティ製品をデバイスにインストールしましょう。
ドキシングの手口とデータ悪用に関する調査の詳細は、Securelistの記事『Dox, steal, reveal. Where does your personal data end up?』をご覧ください(英語記事)。
ヒント