米国FTCが警鐘「データブローカー(名簿屋)」の闇

江添 佳代子

July 28, 2014 15:10
by 江添 佳代子

現在、日本のメディアで大きく扱われている通信教育大手ベネッセホールディングスの個人情報漏洩事件は、国内のインシデント史上最悪の規模(執筆時点の報道で最大2070万件分)と言われている。この事件では、顧客の個人情報を売買する「日本の名簿屋」の実態も話題となった。日本の名簿屋に関して、いろいろなニュースが流れているが、米国の名簿屋の実情はどのようになっているのだろうか?今回は「データブローカー」にまつわる2つの記事を中心に取り上げ、米国の名簿屋事情を覗いてみたい。

ひとつめは、アンダーグラウンドの悪質な個人情報サービス「SSNDOB」を巡る話題だ。このSSNDOBに関しては昨年9月、セキュリティ専門家のブライアン・クレブス(Targetの漏洩事件を最初に暴いたブロガーとして一躍脚光を浴びた人物でもある)が7ヵ月に渡る調査を行ったうえで詳細に解説している。

クレブスの説明によると、SSNDOBは「米国居住者の個人データを手頃な価格で検索できる、信頼性の高いサービス」として、2011年からサイバー犯罪の地下フォーラムで活動してきたという。このサービスでは、ビヨンセやカニエ・ウェストなどのセレブリティから、ミシェル・オバマ、CIA長官ジョン・ブレナン、当時のFBI長官ロバート・ミューラーなどに至るまで、トップクラスの有名人たちの情報も入手可能だった。そこには社会保障番号や誕生日、電話番号、住所なども含まれていたようだが、データが取得されたルートは昨年まで不明のままだった。

クレブスは、SSNDOBの管理者たちが「小さいながらも非常に強力なボットネット」を操作していたことを突き止めた。そのボットネットは、「米国に存在している、少なくとも5つの大手データブローカー」の内部システムに侵入し、そのシステムを制御していたようだと彼は記している。その侵入を受けた大手ブローカーには、日本でもお馴染みのデータベース企業レクシスネクシスや、世界的に有名な企業信用調査企業ダンアンドブラッドストリート(D&B)などが含まれていた。

つまり、大まかに言えば、SSNDOBはナレッジベース認証のデータを保持しているような大手ブローカーにサイバー攻撃を仕掛けてデータを盗み、それを転売していた可能性が高いということだ。この件に関してレクシスネクシスは、「侵入は認められるものの、顧客や消費者のデータが盗まれた証拠は、現時点で見つかっていない」とコメントしている。また、FBIのスポークスマンはSSNDOBのデータ侵害そのものについて「調査進行中」と発表している。

次にデータブローカーに対する米連邦取引委員会(以下FTC)の動向だ。今年5月27日、FTCは「DATABROKERS-ACallforTransparencyandAccountability」と題されたレポートを発表し、データブローカー対策の立法を米国議会に訴えた。

端的に言えば、FTCは「ブローカーによるデータの収集法や、収集したデータの用途や販売について、またそれらを修正、削除する方法について、より簡単に消費者が知ることができるようにするための法案」の通過を訴えている。このレポートは、9社のデータブローカーについて調査したものだ。それらの企業は、他企業が消費者と直接連絡を取り合うことなく身元を確認するため、あるいはマーケティング活動を行えるようにするためのデータを収集している。現時点で、それらの活動には違法性はない。しかし、FTCは収集されたデータに幅広いカテゴリが設定されていること、そしてブローカー業者が「ほぼ全ての米国の消費者」の情報を持っていることに懸念を抱いている。

「あなたはデータブローカーを知らないかもしれないが、彼らはあなたを知っている。彼らはあなたが住む場所、あなたが購入するもの、あなたの収入、あなたの民族、あなたの子供の年齢、あなたの健康状態、そしてあなたが興味を持つものや趣味について知っている。この業種は闇の中で活動しており……そこで扱われている情報の膨大さは、私にとって非常に驚くべきものだ」と、FTCの会長EdithRamirezは警鐘を鳴らす。

FTCは、これらの情報が広告業者や保険会社などに利用され、結果として消費者に危害を加える危険性を挙げた。それは昨今のメディアでも問題視されている。最近、特に話題となっているのは、個人の健康状態に関する情報の取り扱いだ。今年6月のブルームバーグの報道によると、米国の個人が大きなサイズの専門店で衣類を購入した情報、スポーツジムを退会した情報、煙草を購入した情報などがブローカーの手に渡っており、それらは病院などの医療機関に販売されているという。

これらの記事の中で案じられているのは、「現時点で合法となっているブローカーの営業活動の悪影響」だ。だがより恐ろしいのは、SSNDOBのような違法の闇サービスが、より詳細でセンシティブな個人情報を大手ブローカーから丸ごと奪ってしまう可能性が十分にあることだ。ブローカーがサイバー攻撃を受け、膨大な数のデータが違法サービスの手に渡った場合、それは相手を選ぶことなく無分別に販売されてしまうだろう。そして彼らのデータもまた盗まれる可能性があるのだ――実際SSNDOBも、昨年の夏に攻撃を受けてデータを強奪されており、先述のクレブスも、そのデータのコピーを自らの調査に利用したと記している。

※本稿は2014年7月18日発行の「電脳事変」に掲載した記事を特別に公開したものです。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…