2015年10月01日

個人情報が1ドルで売り買いされているという話

昔、携帯電話を新規で契約した翌日にその携帯に怪しげな営業電話がかかってきて、個人情報なんて守りようがないものなんだなぁと悟った記憶がありますが、インターネット全盛の現在ではこうした情報はどんな感じでやり取りされてるんでしょうか。

Hackers are selling your data on the ‘dark web’ for $1
(ハッカーはあなたの情報を「dark web」に1ドルで売っている)

1ドルというとちょっと高い気もしますが、どういった情報が含まれているものを指すのでしょうか。

"There's actually a big surplus of PII currently available in the cybercriminal underground. This has caused its price to drop significantly, from $4 last year to $1 this year," the study found.

PII(訳注:personally identifiable informationの略で、名前、住所、マイナンバーなど)は犯罪組織の中で供給が過剰になっている。それによって価格の下落が起こっていて、昨年はおよそ4ドルでやり取りされていたのが今は1ドルになっている。

住所、氏名に加えてアメリカのSSNというマイナンバー的なものなどがセットになっておよそ1ドルということのようです。

日本だとベネッセの時に話題になった名簿業者のニュースで15円とか30円とかもっと安い金額でやり取りされている話が出てました。SSNが付いているとはいえ1ドルというのはやはりけっこう高額な気がします。

それだけ個人情報からお金を作る手段を豊富に持っているということでしょうか。それとも日本の名簿業者はもっと供給過多な状態だったりするのでしょうか。

これに加えて銀行やクレジットカードなどの情報が紐づくと、値段は高騰します。

Even log-in credentials for banks around the world are being sold but at very high prices between $200 and $500 per account.

銀行のログイン情報は高額でやりとりされています。1アカウントにつき200ドル〜500ドル。

PayPalやeBayのアカウントも同様に高額でやり取りされているそうです。

この手の高額なアカウント情報を犯罪者が5000アカウント分入手することができれば、あっという間にミリオネアになれるという寸法。これだけ高額でやり取りされるなら、それを狙った犯罪が後を絶たないのも納得できるところです。

では、この手のアカウント情報はどこから漏洩しているのか。サイトを攻撃して入手する場合もありますが、最も多いのがデバイスの紛失によるものだそうです。

Forty one percent of data breaches were down to a user losing their device or having it stolen compared to twenty five percent as a result of hacking and malware

41%のデータ漏洩は、ユーザーがデバイスを紛失したり盗まれたりすることで発生しているそうだ。対してマルウェアやハッキングなどによる漏洩は25%に留まっている。

窃盗事件の発生率はアメリカは日本より3倍くらいあり、逆にセキュリティでいえば日本の企業の方がずさんなところ多いイメージがあるので、日本ではまた傾向は違ってきそうです。

とはいえデバイスを落としてそこから情報を抜かれるという事例は日本でも当然起こりえることなので、紛失の危険性もあり、公衆Wi-Fiなどを使うこともあるデバイスでは扱う情報は制限しておいた方が良さそうです。

posted by newsit at 07:00| linux