ここから本文です

被害者が1億人超えの大規模漏洩や、ブルガリアで発生した成人全員の納税データ盗難被害など、深刻な個人情報漏洩被害が相次ぐ

8/19(月) 19:00配信

FINDERS

1億人超えの大規模な個人情報漏洩が発覚

このところ深刻な個人情報の漏洩被害が相次いで発覚している。

中でも驚かされたのが、米法務省が7月29日に発表した、米金融会社Capital Oneからの大規模な流出事件だ。漏洩したのはクレジットカードの発行を申請した個人や企業などの個人情報で、その総数はおよそ1億600万人分にものぼる。

同事件でFBI(米連邦捜査局)に逮捕されたのは、ソフトウェアエンジニアのペイジ・トンプソン容疑者。報道によればAmazonの元従業員(クラウド事業部)だったとされる。

1億人超えというあまりの被害の大きさから、クラウドセキュリティの信頼性を揺るがしかねない事態であると青ざめた関係者も少なくなかっただろう。

だが、その懸念を打ち消すようにAmazonは、「AWS(Amazon Web Services)がハッキングされた事実はない」と声明を発表。犯人が悪用したのはWebアプリケーションの設定ミスであって、クラウドベースのインフラに問題があったわけではないと説明している。いわゆる内部の関係者にしか出来ないような攻撃手法ではなかったようだ。

いかに強固なセキュリティ対策が施されていたとしても、設定ミスがあれば機密情報の漏洩を起こしてしまう。当たり前のことではあるが、大幅に運用負荷を軽減できるクラウドへの依存が高まると、セキュリティ意識にほころびが生じてしまうこともあるようだ。設定ミスのように「人」がセキュリティ上の穴になる情報漏洩は、他にも複数報告されている。

ミスを見逃さないセキュリティ意識の高さを養うことの大切さを、改めて痛感させられた事例といえる。

ブルガリアでは納税者ほぼ全員のデータが漏洩

個人情報漏洩というと、流出した「数」ばかりが話題になりがちだが「内容」にも注目すべきだろう。

最近報告された漏洩被害の中で、内容面で最も深刻と思われる事例のひとつが、ブルガリア共和国で6月に発生した国家歳入庁(NRA)を狙った個人情報のハッキング被害だ。漏洩したとされるのは、同国に居住するほぼすべての成人のデータで、約500万人分とされる。

しかも、漏洩したデータ(過去10年分以上)には、個人の氏名、住所、収入・所得に関する情報、個人識別番号が含まれており、その容量は21ギガバイトにものぼった。納税データという秘匿性の高いデータを、同国内の成人ほぼ全員分盗まれてしまったというのだから、前代未聞の事態と言っていい。

逮捕されたのは、クリスティヤン・ボイコフという20歳の男。警察によれば、共犯者がいる可能性もあるという。その手口は、NRAのセキュリティ上の弱点を狙った「SQLインジェクション」を用いたとみられている。

SQLインジェクションとは、アプリケーションのセキュリティ上の不備を突き、アプリケーションが想定しないSQL文を実行させることで、データベースを不正に操作する攻撃手法のこと。

また、犯人はブルガリア政府の腐敗を糾弾するメールをジャーナリストに送信していることから、その動機や、攻撃の背後にいる者についても究明が求められている。

国家が扱う個人データには高度な秘匿性が求められものが少なくない。十分なセキュリティ対策を講じることなく安易に情報化を推進すれば、国民が深刻な被害を受けることになりかねないだけに、国民1人ひとりが情報化の内容や方向性について注視していきたいものだ。

1/2ページ

最終更新:8/19(月) 19:00
FINDERS

こんな記事も読まれています

あなたにおすすめの記事