メカトロニクス&ICTレビュー
個人情報を守るために。その1
(2011.05.23)
セキュリティは万全ですか?
序章 ブラックマーケット
世の中には、マネーロンダリングができる金融関連、拳銃からミサイルまでの武器売買目的など、いろいろなブラックマーケットがある。なかでも、ごく普通の人が巻き込まれやすいのが、カード番号やパスワードなどの個人情報を売買する《ITブラックマーケット》。ここではメーカーのサイトから流出した個人情報だけでなく、PCやスマートフォンなどから抜き取ったもの、そして、ついうっかり自分で漏らしてしまったものなど、さまざまな情報が売買されている。
個人情報の価格は年収や社会的ステイタスなどによって変わるが、一人数ドルから数十ドルで売買されている。流出した個人情報からクレジットカードを製作し使われたり、またキャッシングなどで負債を負うこともある。しかも、一度流出したデータを取り戻すことは不可能に近く、たとえ犯罪者を特定できても、国外にサーバーがあると逮捕はきわめて難しい。さらに、ブラックマーケットでは、ひとつの個人情報が繰り返し転売されることも多いので、とにかく各人が個人情報を守るための知識を持ってほしい。
今回のリポートは、2010年にセキュリティソフトメーカー大手の「シマンテック」本社で開かれた「セキュリティに関する会議&セミナー」で、FBI捜査官が語ったことの抄訳だ。この会議&セミナーには、世界6つの地域、17か国のTV局、ラジオ局、新聞社などの記者が招待され、日本からは新聞社とフリーランスとしてわたくし(Ryuji)が参加した。
会議&セミナーは2日にわたり、個人情報から企業へのハッキングなど、様々なセキュリティ危機の実態と、そのための対策、心構えなど、各テーマごとにセッションが開催され、シマンテックやFBIからのレクチャー、世界各国のマスコミ関係者によるディスカッションが行われた。
数あるセッションの中で興味深かったのが、自分のミスで流出してしまった個人情報が、どのような被害をひき起こしたかを、実際の被害者が語ってくれたもの。これから書くことはフィクションではなく、恐ろしいような実話だ。
それはメールへの返信から始まった。
ジョーンズさん(仮名)は、毎日のように不審なショッピングサイトから届くメールに悩んでいた。たまりかねタジョーンズさんは「メール配信の停止はこちらから」と書かれているメールアドレスに返信した。翌日から、そのショッピングサイトからのメールはなくなったが、その代わりに違ったショッピングサイトや怪しげなメールが届くようになった。それが、自分が送った配信停止メールとかかわっているとは思いもよらなかった。
数日後、自宅の留守電に、以前利用したことのあるショッピングサイトから「あなたのクレジットカードでのショッピング額が急激に増えているが、キャンセルしますか」と、録音されていた。さらに友人から「あなたの名前で、わたしの知り合いに迷惑メールが届いているんだけど、どうしたの」とメールが届いた。もちろんジョーンズさんは迷惑メールを送ってはいないと返事をした。
何かが起こっていると思い始めたところに、今度はクレジット会社から「カード番号と暗証番号が盗まれたようです。至急、パスワードなどを変更してほしい。つきましては、いろいろ確認したいことがあるので、この電話でお答えいただくか、メールを差し上げますのでご記入の上、返信をしてください」と連絡があった。ジョーンズさんは、少し変かなと思ったが、次々に起こることに動転していて、カード会社名で送られてきたメールにカード番号を記入し、パスワードの変更願いを返信してしまった。
更なる悲劇が、彼女を襲った。後になって気が付いたが、カード会社名のメールに返信するとき、ジョーンズさんはいつもと同じように、本名、自宅の住所や電話番号、仕事用アドレスなどを自動記載する設定のまま送ってしまったのだ。このミスが、彼女をさらに窮地に追い込んだ。
翌月、彼女のクレジットカードは上限ギリギリまで使われていた。そこで初めてカード詐欺にあったと気付き、警察に被害届をだし、クレジットカード会社に行ってカードをキャンセルした。カード会社も、警察への届けと被害の実情を知り、まずは保険で保障してもらい金銭的な出費は少なくて済んだ。
だが、悲劇はそれで終わらなかった。彼女の基本情報が、ブラックマーケットで売買されたのだ。そこから彼女が持っていた別のクレジットカードの不正使用、さらに生命保険を使った借入など、何か月にもわたり身に覚えのない金銭トラブルにまきこまれた。そのつど仕事を休み、カード会社や保険会社に出向いて被害者だということを証明し、借金の無効手続きに追われることとなった。
上司も最初は気の毒がっていたが、度重なる休みに仕事が滞ることを理由に、契約社員だった彼女は解雇されてしまった。仕事をなくした彼女は引越しをすることになり、新しい住まいのそばの銀行に新たな口座を開きに行った。ところが、驚くことに、彼女の名前の口座がすでに開設されていたのだ! しかも、詐欺事件の入金用口座にされ、さらに外国へ送金するための口座としても使われていた。
この話は最初に書いたように、アメリカで本当にあったサイバー詐欺事件。フィクションではなく実話だ。セキュリティ会議の席上でジョーンズさん本人が世界各国のマスコミに対して話をしてくれた。ジョーンズさんの話のあと、同席していたFBIの捜査官は「一度ブラックマーケットに出回ってしまった情報は、よほどのことがない限り取り消せない」と、何度も繰り返し、うっかりミスの怖さを強調していた。
日本語の詐欺メール、誘導メールが増えている。
日本人の多くはITセキュリティへの関心度は高いにもかかわらず、まさか自分が引っ掛かるわけがないと思っている。それだけに、被害が拡大する可能性がある。個人情報がわかれば、簡単に偽カードが作られ、利用されてしまう。前出の会議&セミナーの会場では、偽カードつくりのメカも展示されていた。このレビューでは、今回から数回に分けて個人情報の守り方を、アメリカの事例などを交えながら紹介していく。
迷惑メール&スパムメールなどに、
絶対にしてはいけないこと
●「迷惑メールフォルダー」で、差出人やタイトルを確認して、残しておきたいメールは受信フォルダーに戻す。そして、いらないメールは「迷惑メール」フォルダーから直接削除せず、面倒でも「削除フォルダー」や「削除済みアイテム」に移動。そこから「フォルダーを空にする」などの機能で消去することをお勧めする。メールソフトによっては「迷惑メール」フォルダーの中で削除すると、削除したことが相手方=悪意のある人にわかってしまうことがあるからだ。
●メールソフトの詳細設定で「削除フォルダーから消去したときサーバーからも削除する」を選んでおこう。こうすればメールサーバーの容量が増えてしまうこともない。また、メールソフトによっては「迷惑メール」のフォルダーで消去しても、メールサーバーに残ってしまうものもあるから気をつけよう。設定方法などはソフトによって違うので確認して欲しい。
●たとえ迷惑メールを間違えて開けてしまったとしても、テキストだけのメールなら、それだけで詐欺にあうことは少ない。ただ、そのメールに書かれているアドレスをクリックすることは厳禁。これは必須注意事項。
●銀行系、クレジットカード会社、有名メーカーなどの会社名のメールでも、なりすましといって犯罪メールの場合もあるので注意。アドレスの変更やカード番号やパスワードの変更などを要求されても、すぐにしないで銀行やカード会社へ電話をして確認しよう。この時の電話番号もメールに書かれているものではなく、持っているカードの書かれた電話番号で確認をする。
●メールに書かれているアドレスでアクセスしたとき、本物そつくりのフィッシングサイトが表示される場合がある。これに気を付けよう。日本でも大手カード会社や銀行、最近では「日本赤十字」のホームページそっくりのページを表示して、カード番号などを入力させるという事件が起こっている。詳しくは、フィッシング対策協議会のページで確認してほしい。
●知人のメールアドレス名で届いたメールでも、内容が変だと思ったらメールは返信せず、友人に電話して確認する。流出した個人情報に住所録を結び付けて偽メールを送るという犯罪が数多く起こっている。内容を読んで、友人らしくない内容や言葉使いだと思ったら、必ず確認を。
●通販のお誘いメールなどでは、まず住所が書いてあるかを確認。住所が書いていないメールは詐欺メールの可能性が高い。また、住所が書かれていても注意が必要だ。実際、僕のところに来る「通販メール」でマガジンハウス近くの住所が書いてあったので調べてみたら、住所はあっていても会社は存在しなかった。クレジットカードや銀行振り込みでの購入しかできないシステムの通販メールには特に注意しよう。
●テレビ番組や有名人の名前が書かれている通販メールもあるが、文章をよく読んで、本当に番組や有名人が関係している通販なのかを見極めよう。××番組で紹介されたとか、有名人の本に書いてあったというだけでは、関係があるとはいえないはずだ。
個人情報が流出したと思ったときは
●カードや銀行口座のパスワード変更、口座番号変更は、メールや電話などではなく、手間がかかっても、カード会社や銀行の窓口に出向いて変更手続きをする。この場合、本人確認に必要な書類(免許証など写真入り身分証明書)は必ず用意していく。書類が揃っていないと、再度窓口に行かなくてはならなくなる。
参考資料:「夏休み期間における情報セキュリティにかかる注意喚起」
次回は、ネット犯罪に極力巻き込まれないようにする対処方法を紹介する予定だ。