個人情報が売買されているという事実をご存知でしょうか?
インターネットが普及したことにより、様々なサービスが発展しましたが、その一方でサイバー犯罪も増えています。その代表的なものが「個人情報の売買」なんです。
「セキュリティってこれで十分かな?」「セキュリティ担当になったけど何をしたらいいかわからない!」そんな方も多いのではないでしょうか。
そこで今回は、個人情報の売買について解説します。
「セキュリティについてのリテラシーを深めたい」「セキュリティ対策を担当している」そんな方にピッタリの記事となっています。ぜひ参考にしてみてください。
また、企業が対策するべきコンピューターウイルスについて「多様化の一途をたどる脅威!コンピューターウイルスの種類」で詳しく解説しています。あわせてお読みください。
個人情報の定義についておさらい
まず、そもそも「個人情報」とはどんな情報をさすのかおさらいしてみましょう。法律には「個人情報保護法第二条」には以下のような記載があります。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
個人情報の保護に関する法律より
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
「個人情報」とは、”生存する”個人に関する情報で、その情報に含まれる氏名や生年月日などによって特定の個人を識別できる情報を指します。
氏名や生年月日以外にも、
- 連絡先(住所・電話番号・メールアドレス等)
- 会社での役職
などの情報も個人情報に該当します。
もっと意外なところでは、本人と特定できる映像と音声、履歴書などに記載された情報も個人情報に分類されるので、イメージよりも範囲が広いのがわかります。
個人情報の売買はダークウェブ上でなされる
個人情報の売買と聞いてもピンと来ないかもしれませんが、決して他人事ではありません。
個人情報はダークウェブ上でやり取りされているからです。
ダークウェブとは、Google chromeといった通常のブラウザではアクセスすることができないサイトのことを指しています。
サイトの分類として、
- Googleで検索してクリックすると閲覧できるサイトたちは「サーフェスウェブ」
- IDやパスワードが必要であり、特定の人物でないと閲覧できない場所を「ディープウェブ」
- そして更に深層にあり、指定のソフトやツールの設定をしないとアクセスできない「ダークウェブ」
の3つに分かれます。
普段我々が利用しているのは「サーフェスウェブ」と「ディープウェブ」です。
つまり、我々が容易にアクセスできない深い場所で、盗まれた個人情報は売買されています。
ダークウェブ自体は、違法性のあるものではありません。
ですが、その匿名性の高さや専門知識が必要というハードルの高さから、犯罪に利用されていることが多く、麻薬や違法なファイルのやり取りに使われています。
そんな無法地帯だからこそ、個人情報の売買も頻繁に行われているのです。
そこで、クレジットカードの番号や住所、電話番号などといった、本人しか知りえない情報が流出してしまうと大変危険です。
悪意のある人間に犯罪に利用されるだけでなく、ダークウェブで販売されてしまい、さらに悪用をされるリスクを高めてしまいます。
個人情報の売買に関するトレンドマイクロの調査報告
日本国内で圧倒的なシェアを誇るウイルス対策ソフト「ウイルスバスター」を開発しているトレンドマイクロ株式会社。
そんなセキュリティ対策の最前線を走る企業が、2012年に自社ブログ内で個人情報が「闇市場」にていくらで売買されているのかの調査報告をしていました。
日本では個人情報として価値のある、クレジットカードの情報についてですが、アメリカでその個人情報の売買がなされた場合1ドル~3ドル程度とのことです。 日本円に直すと約114円~342円ほどになります。(2021年12月現在)
アジアではもう少し高く、6ドル~10ドルほどの値段がつきますが、それでも日本円では684円弱~1,140円弱ほどです。
以前こちらの記事で紹介した漏えい個人情報の金銭価値の計算式があります。
この計算式にクレジットカードの情報を当てはめると、1人あたり78,000円。売買されている料金とは大きく差が開いています。
ちなみに、銀行口座の情報が売買される場合は、若干高くなり1人あたり25ドル~35ドルとなり、日本円では2,850円~4,000円程度の売買金額になりますが、それでも金銭価値とは大きな差があります。
Amazonなどと言った、ECサイトの発達により、現在はクレジット番号も番号とパスワードがあればいくらでも買い物が出来てしまう状況にあります。
そんな情報すら、これだけの安価で取引されているというのが実情のようです。
安価に取引できるということは、個人情報の売買が頻繁に行われやすく、数多くの情報が取引されていることが容易に推測できます。
このように、決して個人情報が売られてしまうというのは他人事ではないのです。
個人情報の流出による売買を防ぐためには
個人情報の流出は、誰にでも起こる可能性があります。
そして、個人情報が一度外部に流出してしまうと、それが拡散してさらに大きな被害を引き起こしかねません。 被害が手に負えなくなる前にも、早急に対策をするべきです。
個人でできる、個人情報の流出対策を紹介します。
Webサイト上で極力個人情報を入力しない
Amazonや楽天などのECサイト、金融機関、SNSなどを装った偽のサイトが多数存在します。
手口は巧妙で一見、公式サイトのように見えますが、パスワードとIDを入力すると、その情報を見られてしまう情報が流出してしまいます。
また、それ以外にも「アカウントに不正なアクセスがあった」「再配達依頼をしてください」などとメールアドレスに偽サイトを送るなどして、IDやパスワードなどの個人情報の入力を求めてきます。
URLバーに鍵のマークないサイトや、メールやメッセージからリンクを送られてきたときは、ドメイン名をチェックし、正しいサイトのURLが表記されているか確認しましょう。
また、本物のサイトかどうか確認が取れるまで個人情報の入力を控えましょう。
偽物のサイト(フィッシングサイト)については、「巧妙な手口で情報を窃取!フィッシングサイトの概要と対策とは」で詳しく解説しています。あわせてお読みください。
ファイル共有ソフトは利用しない
ファイル共有サイトとは、アップロードしたファイルを他社に共有できるサイトです。
このサイト自体は違法ではありませんが、著作物を違法にアップロードする犯罪の温床となっています。
ファイルをアップロードしている人物がどんな人物か分からない以上、ウイルスが仕組まれている可能性があり、大変危険です。
不特定多数の人とのファイルのやりとりはリスクがともないます。
個人利用は控え、ビジネスで使用するなら、信頼できる有料サービスなどを活用しましょう。
ウイルス対策ソフトを導入する
自宅でPCを使う場合は、ウイルス対策ソフトを導入しましょう。
ウイルス対策ソフトを入れていないというのは、家に鍵を掛けていないのと同じです。
「トロイの木馬」に代表されるバックドア型マルウェアの侵入を許してしまうと、PCの情報をいとも簡単に盗み見ることができてしまいます。
有名なウイルス対策ソフトは「ウイルスバスター」「アバスト」等が色々と存在しますが、「お金をかけたくない」という場合は無料のソフトがあるので、最低限、無料のウイルス対策ソフトの導入をしておきましょう。
定期的なパスワード変更
ログイン用にパスワードを作成しても、その後同じものを使い続けているという人も多いのではないでしょうか。
パスワードはサイトごとに使い分け、定期的にパスワードを変更するのがベターです。
また、利用中のサービスの運営がハッキングの被害にあい、ログイン情報が流出してしまう可能性もあります。 万が一の場合に備えるためにも、パスワードは定期的に変更し、他人が予測しにくいものを使いましょう。
二要素認証の使用
サイトによってはログイン時に本人確認が必要となる「二要素認証」があります。
多少ログイン時に手間はかかりますが、情報流出のリスクが低減することができるので、積極的に活用しましょう。
有名な例としてGoogleでも採用されている、ログインする際にスマートフォンに通知が行く「所有要素」が上げられます。
その他にも、IDとパスワードの他に、「昔飼っていたペットの名前」「小学校の担任の先生の名前」などと言った秘密の質問といった「知識要素」、顔や指紋で認証する「生体要素」などがあります。
個人情報が流出してしまった時の対処方法
個人情報を守るための対策について解説しました。
ですが「ちゃんとパスワードを変えてたのに情報が流出してしまった」というケースも0ではありません。 万が一、個人情報が流出してしまった場合は、以下のような対処をしましょう。
ID/パスワードを変更
ログイン用のIDやパスワードが流出すると、自分が被害者となる可能性があるだけでなく、アカウントが不正利用されることで犯罪の加害者になってしまう可能性があります。
個人情報の流出が明らかになったときは、これまでに登録したすべてのサービスでIDとパスワードをすみやかに変更しましょう。
銀行口座やクレジットカードの履歴確認
身に覚えのない履歴が無いか、クレジットカードの明細は定期的に見返しましょう。
いつの間にか知らない物が買われていた!という履歴があったら、それは間違いなくログイン用IDとパスワードが流出しています。
この場合は、金銭的な被害に遭う可能性が非常に高いため、即座に事情を説明し、利用中止の連絡をしましょう。
ウイルス対策ソフトによる保護
セキュリティソフトを使って、悪意ある第三者からの攻撃からデバイスを保護しましょう。
ウイルスに感染すると、PCの遠隔操作も可能になり、犯罪の道具として利用されてしまう可能性があります。
怪しいサイトにアクセスしたり、怪しいソフトをダウンロードしようとした際に「このサイトは信頼に値しない危険なサイトです」と警告を出してくれます。
これにより、人為的なミスでダウンロードしてしまったというようなリスクを回避できるので、ウイルス対策の保護は忘れずに実施しましょう。
こうしたセキュリティ対策・対応を従業員が適切に行えるよう、従業員教育を行いましょう。
まとめ
個人情報の売買、そしてその手口や対策について解説しました。
個人情報の売買は当たり前に行われており、誰しもがその被害者になってしまう可能性があります。 決して他人事だと思わず、今自分たちでできるセキュリティ対策を実施しましょう。
また、企業が対策するべきコンピューターウイルスについて「多様化の一途をたどる脅威!コンピューターウイルスの種類」で詳しく解説しています。あわせてお読みください。
