サイバー犯罪者が狙う「患者データ」(前編) 闇市場で紐付けられていく個人情報

江添 佳代子

November 2, 2015 09:30
by 江添 佳代子

9月29日、米ハーバード大学の研究者たちが「 De-anonymizing South Korean Resident Registration Numbers Shared in Prescription Data 」と題した論文を発表した。この論文は、個人を特定できないはずの、韓国の患者医療データを非匿名化する実験を示したものだ(ただしプライバシーを考慮し、調査対象は故人のデータに限定されている)。この実験で、彼らは2万3163件のデータから2万3163人分、つまり100%の患者のRRN(Resident Registration Number 韓国の住民登録番号)を割り出すことに成功した。

韓国の全国民に発行されているRRNは、1968年から運用されてきた住民登録番号で、日本のマイナンバー制度と似た役割を担っている。しかし、過去に何度も繰り返されてきた大規模なサイバー攻撃を通して、最低でも国民の80%以上の番号情報が流出したと考えられているため、韓国政府はRRNに替わる新たな制度構築を進める方針を表明している。より詳しい情報は、昨年の記事「韓国、住民登録番号システムの再編成へ」をご一読いただきたい。

ハーバード大の研究者たちが今回の実験で用いた医療データには、患者の氏名や住所などの一般的な個人情報が何も含まれておらず、RRNは暗号化されていた。彼らは、その暗号化されたRRNを復号することで個人の特定に成功したのだ。研究者らは、このような非匿名化の技術を患者の医療情報に利用できる国は世界中にあると主張しており、米国に本社を置く多国籍企業IMS Health社の名を挙げている。

英ITメディア『The Register』の記事によると、IMSは10ペタバイト分の患者の医療データを保管する業界最大手のベンダーのひとつだ。同社は現在、プライバシー法に違反した疑いで民事訴訟を起こされている。IMSの提携業者が収集した患者の医療データを、患者の了承を得ないままIMS Koreaに販売目的で横流ししたという問題が取り沙汰されているためだ。IMS社がリサーチ業者や分析企業と共有したと考えられている「匿名化された患者のデータ」は、今回の実験で解読されたデータに類似したものだと研究者たちは指摘する。

医療機器の侵害における「もうひとつの恐怖」

医療機器が抱えるセキュリティの問題については、「医療機器セキュリティの悲惨な現状」でもお伝えしたばかりだが、このようなデバイスが攻撃された場合、考えられる被害は少なくとも2つある。医療機器そのものが誤作動を起こして患者の人体が危険に晒されるという問題と、侵害された医療機器から患者や病院に関連したデータが漏洩するという問題だ。

危険性が分かりやすい前者と比べると、後者は地味である。サイバー攻撃による顧客情報の流出など、いまや世界中の企業や組織で頻繁に起きているため、大きな脅威ではないと考える人もいるかもしれない。しかし医療関連の個人情報は、アンダーグラウンドのブローカーたちの間で、数年前から特に注目されるようになった「極上の機微情報」であり、それは闇市場においてクレジットカードの情報よりもはるかに高値で売買されている(参照:「60ドル前後で取引される『患者情報』 米国FTCの『データブローカー』取り締まりは成果を生むか?」)。

この流行は衰える兆しがない。それどころか、最近ではシギントを行うスパイたちの間でも医療データの人気が上昇しているようだ。ロイターは6月、「Medical data, cybercriminals’ holy grail, now espionage target(サイバー犯罪者のお宝「医療データ」が、いまはサイバースパイの標的に)」というタイトルの記事を発表した。その記事は、今年前半の米国を震撼させたOPMの連邦職員情報漏洩事件と、それよりも前に起こった米国の医療機関(保険企業Anthem Incと、ヘルスケアサービスPremera Blue Cross)へのハッキング攻撃に共通点が多いことを指摘した内容で、米国を襲った3つの攻撃と、昨今のサイバースパイが標的とするデータの傾向について考察している(参照:「年金情報漏洩より遥かに深刻? 連邦職員情報『1800万件』流出に揺れる米国」)。

IoTで記録されるリアルタイムの身体データ

犯罪者やスパイに個人の医療データが狙われているという事実は、これからIoT化の進む社会において大いに懸念すべきことだろう。なぜなら医療機器に限らず、将来的には様々なデバイスが、ユーザーの健康に関する情報を記録するようになることが予想されるからだ。

現在でも我々の周囲には、フィットネス系のウェアラブルデバイスやスマートフォンのアプリなど、ユーザー個人の健康を管理するためのツールが溢れており、その数は年々増加している。個人的なデータを膨大に記録しているにも関わらず、これらのデバイスの多くは、セキュリティよりも「軽量化」「快適な動作」を重視した設計となっており、しかも常時もしくは頻繁にインターネットに接続されている。米Healthline社が6月に行った調査では、ヘルスケアのデバイスやアプリを利用している人々の約50%が、「自分の健康データがハッカーに盗まれることを恐れている」と回答している。

そして今後は、一般的な家電にもヘルスケアの機能が広がるものと予測されている。IoT化が進むにつれ、冷蔵庫や自動車、テレビなどが、ユーザーの食生活や運動量などの個人データを24時間記録し、「ビタミンと繊維の足りていないあなたのために」「運動不足のあなたのために」と、様々なアドバイスや広告を提供するようになるだろう。その記録はユーザーの知らぬ間に抜き出され、個人を特定できる情報と共に闇市場で売買されるかもしれない。

では、そもそも犯罪者たちは盗み出したデータを何に使うのだろうか? なぜ、それらのデータはクレジットカード情報よりも高値で売買されているのか? 後編では、その点について考えていきたい。
 
後編に続く

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…