2014年の主な個人データ流出事件

2015年1月28日

プライバシープライバシープライバシー毎年、何百万という人々が、データの侵害を受けています。たいていは悲しい結果が待っています – 盗まれたオンラインバンキング情報はアンダーグラウンドのサイトで売りに出され、銀行側は顧客の損失を補填するために巨額の支払いを余儀なくされるのです。

Data-Privacy-Day

Data Privacy Dayである今日は、2014年に起きたデータ侵害事例のうち、個人情報の流出につながったものを振り返りたいと思います。また、データ流出によって企業が被る損失を、金銭面と信用面の両方から見ていきます。

狙われる小売業者

膨大な顧客データを抱える大手小売りネットワークは、ハッカーの格好の獲物です。2014年も例外ではありませんでした。犯罪者にとっておいしいケースには、こんなものがありました。

ある集団が、3つの巨大な小売りネットワークのハッキングに関わったのではないかと伝えられています。大手小売業のTarget(バンキング情報、電話番号、メールアドレスその他を含む顧客データ7000万件)、コスメ会社のSally Beauty(25,000件のデータ)、住宅資材小売業のHome Depot(クレジットカード5600万枚分の銀行データおよび5300通のメール)の事件です。

Sally Beautyのケースでは、ハッカー集団自体がハッキングを受けるというおかしな事態に発展しました。盗まれた情報は複数のアンダーグラウンドWebサイトで売りに出されましたが、すぐに何者かがそのうちの1つをハッキングして改ざんを加えたのです。この「善きハッカー」は、ハッキングしたサイトのホームページに、映画『メン・イン・ブラック』の映像と共にメッセージを残しました。

sallybeautyもうひとつ話題になった小売業界の個人データ流出といえば、ログイン名とパスワードが大量に流出したeBayの件でしょう。この件で1億4500万人の顧客に影響が及び、同社に対して集団訴訟が起こされました。PC Worldによると、原告側の総請求額は利息・手数料別で500万ドル超です。

誰も安心できない

銀行、ドットコム企業、大手機器製造業者、電気通信会社、政府機関 – 誰もが危険にさらされています。2014年を代表する事件といえば、Sony Picturesの件が記憶に新しいところですし、セレブの写真が流出した件はご存じの方も多いでしょう。ほかにもどのような事例があったのか、具体的に見ていきたいと思います。

Happy Weekend! #protectyourselfie

A post shared by Kaspersky Lab (@kasperskylab) on

世界各国の銀行が、ハッキングの被害に遭いました。2014年1月、Korea Credit Bureau銀行では、従業員の手によって顧客2000万名の銀行データが流出しました。

銀行、ドットコム企業、大手機器製造業者、電気通信会社、政府機関 – 誰もが危険にさらされています

2月には、英国の銀行Barclaysが攻撃を受けました。27,000件の顧客記録が盗まれ、不正なシティトレーダーに売却されたのです。その結果、同行の信用は下落し、ブラックマーケットでデータを売られてしまった何万という顧客への補償も行わねばなりませんでした。

6月、米国の銀行JP Morganでは顧客8000万名分の個人データが侵害されました。同行は数ヶ月にわたって沈黙を続け、この件を報告したのは10月になってからのことでした。

韓国では、2700万名(同国人口の80%に相当)の顧客データが流出したハッキング事件を受け、国民ID番号管理システムを完全に刷新することを当局が検討し始めました。

電気通信会社にとっても、厳しい1年でした。フランスの電気通信業者Orangeは、2014年1月〜3月の間に2回のハッキングを受け、130万ユーザーのデータが盗まれました。さらに悪いことには、同社がプロモーション用メールおよびテキストメッセージ(顧客の同意の下に配信するもの)の送信に利用するソフトウェアプラットフォームが、ハッカーによって侵害されました。以後、多くの人がサインアップに慎重になったことでしょう。

10月、AT&Tは、好奇心の強すぎた社員2名を解雇せざるをえなくなりました。顧客1,600名のアカウントに不正アクセスし、社会保障番号および運転免許証番号を見たとの疑いです。

10月にはまた、ファイルホスティングサービスのDropboxに不運が降りかかりました。700万ユーザーのデータがWeb上に流出したのです。同社は、第三者のサイトまたはアプリからログイン情報が流出した、との声明を出しました。自社のサーバーを保護しようとどれほど尽力しても、利用者の怠慢や知識欠如に直面したらどうしようもない、というわけです。「123456」のような文字列がパスワードとして頻繁に使われているようでは、今後も同じようなデータ流出が起こることでしょう。

データのお値段

誰も彼も情報を売買しますが、データあたりの価格は低めです。たとえば、空港駐車場サービスPark ‘N Flyの顧客データの販売価格は、カードあたり6ドルから9ドルでした(クレジットカード番号、有効期限、認証コード、カード所有者の氏名、住所、電話番号を含む)。一方Barclays銀行の顧客情報は、これよりも高い値がついていました – 1ファイルあたりの最高価格は76ドル(50ポンド)でした。

誰も彼も情報を売買しますが、データあたりの価格は低めです

信用の価格は、特に裁判沙汰になった場合、もう少し高くつきます。情報流出の被害者となった顧客に対してBarclays銀行が提示した補償額は770ドル(250ポンド)でしたが、被害者の多くは「端金だ」と評しました。不満を表明し、さらなる補償を要求した顧客に対して、同行は提示額を倍にせざるを得ませんでした。一部の顧客は、1,520ドル(1,000ポンド)を得ています。

補償以外にも、データ流出の結果として生じる支出があります。たとえば、1回起きたデータ流出の影響を収束させるため、Home Depotは1四半期をかけて4300万ドルを費やしました。用途は捜査のほか、なりすまし保護サービスの提供、コールセンターの人員増、その他司法サービスおよび専門サービスの利用です。

1月28日は「Data Privacy Day」です。米国、カナダ、欧州27か国で祝われる日ですが、皆さんも一緒に、自分の個人データの安全性を改善するための方法について考えてみませんか。たとえば、信頼に足る強度のパスワードを使い始めるのも一案です。