60ドル前後で取引される「患者情報」 米国FTCの「データブローカー」取り締まりは成果を生むか?

江添 佳代子

January 22, 2015 10:00
by 江添 佳代子

2014年12月23日、米連邦取引委員会(Federal Trade Commission、以下FTC)は、社会保障番号(SSN)や銀行口座番号などを含めた消費者の個人情報を販売していたとして、米LeapLab社と同社CEOに対し訴状を提出したことを発表した。ネバダ州を拠点とするデータブローカーのLeapLabは、消費者への不正請求を目的とした犯罪者たちを相手に、数十万件の個人情報を販売していたという。

FTCの訴えによると、LeapLabは財政的に逼迫している消費者のペイデイローン(給与を担保とした短期の小口ローン。米国の消費者金融が提供しており、非常に高利)の申請書を買い取り、それをマーケティング業者に転売していた。LeapLabは、売却先の業者が「情報を得る合法的な理由を持たない相手」であることを分かっていたという。同社が販売した情報には、消費者の名前や住所、電話番号、勤務先、社会保障番号、銀行口座番号、銀行のルーティング番号などが含まれていたようだ。

LeapLabのデータ販売先のひとつ、Ideal Financial Solutions社は、すでに別件でFTCから告訴されている。Ideal Financial Solutionsは2009年から2013年にかけ、少なくとも220万件の個人情報をブローカーから買い取り、その消費者に対し「購入していない金融商品の不正請求」をすることで数百万ドルを得たと訴えられている。その被害者の銀行口座情報のうち、少なくとも16%はLeapLabから購入したものであったようだ。

ここでいったん、米国のデータブローカーについて確認しておきたい。データブローカーのサービス内容に関しては、昨年の日本のベネッセ事件でもお馴染みとなった「名簿屋」を想像していただくと分かりやすいだろう。しかし米国の状況は、より深刻と言えそうだ。FTCは、いまや米国の「ほぼ全国民の個人情報がデータブローカーの手に渡っている」と発表しており、そこには消費者の住所や電話番号から、銀行口座番号や生年月日、社会保障番号など、極めて重要な(そして一意的な)情報も含まれる(参照「米国FTCが警鐘『データブローカー(名簿屋)』の闇」)。

事態を深刻に受け止めたFTCは、2014年5月27日、9社のデータブローカーについて調査したレポート「DATABROKERS-A Call for Transparencyand Accountability」を発表すると共に、データブローカー対策の立法の必要性を米国議会に訴えた。同年5月27日のロイターの報道によると、FTC議長のEdith Ramirezは次のように語っている。

「『データブローカー対策法』は、消費者から待望されている一方で、データ重視型の産業からは反発を受けている。同法の可決を目指し、FTCはロックフェラー等とも協働する」

しかし、現時点で大きな進展は見られないようだ。そして、この法が議会を通過するかどうかはさておき、既に漏れてしまった個人情報に関しては、取り返しのつかない状況だと言わざるをえないだろう。なぜならデータブローカーの暗躍は昨今に始まったことではないからだ。ネットのアンダーグラウンド界では、遅くとも2011年頃から、個人データの売買が活発に行われている様子が観察されてきた。

さらには、大手のデータベース企業にサイバー攻撃を仕掛け、そこで保管されているデータを盗み出して販売する悪質なブローカーの活動も指摘されており(この件については、セキュリティジャーナリストのブライアン・クレブスが非常に詳細なレポートを発表している)、更にそれらのブローカー同士がサイバー攻撃を通して「個人データの盗み合い」をしているといった指摘もある。

こういったデータは、利用者の目的(合法的な、あるいは非合法的な)に合わせ、何年にも渡って提供されてきた。何度も転売されコピーされてきた消費者の個人情報を、いまさら消し去るのは不可能に近いだろう。更に恐ろしいのは、それらの情報の一部がインターネットで簡単に入手できることだ。オンラインには個人情報のデータベース検索サービスが複数存在しており、中には利用者のログインすら要求しないまま、任意の米国市民の社会保障番号を無料で探せるサイトもある(全国民のデータが必ず見つかるわけではないが)。

既に個人情報は、これほど「安く」扱われるところまで来てしまったと言える。それでも消費者が、少しでも悪用を防ぐための措置を望むのは当然の話だろう。マーケティングや勧誘を目的とした個人情報の売買を現法で罪に問うことは難しいが、それでもFTCは今回、「悪用されることを知りながら個人の機微情報を販売した」としてLeapLabの告訴に踏み切った。

この告訴について、FTCの消費者保護局(Bureau of Consumer Protection)のJessica Rich長官は次のようにコメントしている。
「今回の事件は、実際に『機微な財政情報の不法な利用が消費者へ危害を与える』ということを示すものだ」
「このケースのような被告たちは、二度に渡って――第一に、消費者たちの金銭の窃盗を容易にすることによって。次に『個人情報を合法的な金融業者へ提供すること』に対する信頼を蝕むことによって――消費者を傷つけている」

だが、このFTCの視点は少々古臭くも感じられる。闇市場で扱われる情報には流行があり、近年では金融関連の情報が劇的に安くなっているからだ。例えば英『The Register』は2013年11月、「米国市民のクレジットカードの詳細情報は現在、たった4ドル程度で売買されている」と報じたが、その数ヵ月後の2014年2月に開かれたイベント「RSA2014」ではセキュリティ企業Agariがその値は2ドル程までに下がったと発表している。その一方、同イベントでは病院の患者の「メディカルレコード」が60ドル前後で販売されているという調査結果も報告された。

「メディカルレコードを利用することで、詐欺師たちは犠牲者の髪や目の色までも突き止め、誰かになりすますことができる。銀行や店舗、カード会社を欺く方法を熟知しているなら、そのデータを得た者が出来ることには限りがない」

そう語るのは、Microsoft Digital Crimes UnitのアシスタントゼネラルカウンシルのRichard Boscovich氏だ。このような、より利用価値が高く、より個人のプライバシーを侵害しかねない情報は、FTCが現在想定している「データブローカーが販売するデータ」の範疇の外にあるかもしれない。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…