Equifaxの情報漏えいが米国の消費者にとって史上最悪である理由

By Christopher Bray

本ブログ記事は、2017年9月14日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

9月7日に米国の消費者信用情報会社 Equifaxが、大規模なデータ侵害の被害に遭ったというニュースが飛び込んできました。信用情報会社である以上、何百万人分もの機密データを抱えているのは当然です。

インターネットを使う方であれば、Yahoo、Anthem、Targetといった多くのWebサイトの情報漏えいが原因で、パスワードの変更を余儀なくされた経験が何度かあったと思います。これは実に厄介なことです。でも想像してみてください、個人情報の盗難が原因で、勝手に借金が増えたり税金の還付金が盗まれてしまって、それをクレジットカード会社や銀行や税務署などに説明する事態になったとしたら。

実際にこうした被害に遭っている人は常にいます。米信用情報サービスEquifax社で発生した情報漏えい以降、こうした話を耳にする機会が急増しています。他の情報漏えいと異なり、今回の場合、被害者はみな、生涯にわたって個人情報を窃取されうる脅威に晒されます。

いまや情報漏えいは珍しいことではありませんが、これまでのデータ漏えいはほとんどパスワードとユーザー名の漏えいであり、場合によってはクレジットカード番号が漏えいすることもありますが、生年月日や住所が漏えいすることはまれです。Equifaxのデータを窃取したハッカーの手に渡ったのは、1億4,300万件のアカウントという大鉱脈でした。これは米国人口の約半分に相当します。

これは、自分自身が被害者である可能性が50%、知り合いの中に被害者がいる可能性が100%ということです。窃取された情報は、具体的には、氏名、住所、電話番号、生年月日、クレジットカード番号、運転免許証番号、社会保障番号です。つまり、個人情報を窃取して大規模な詐欺を実行するために必要なすべての情報ということです。

個人情報の盗難は高くつく

これらの情報が詐欺に悪用されると、甚大な被害を受けることになります。犯人はオンラインの銀行口座にアクセスして振替を行うこともできます。あなたの名前を使ってクレジットカードを作ることもできます。融資を受けて返済を無視することもできます。確定申告書を偽造して提出し、還付金を着服することもできるかもしれません。こうした詐欺被害を受けると信用は失われ、信用格付けを取り戻すには長い時間がかかるだけでなく、苦痛を伴い、費用もかさみます。こうした詐欺の被害者の中には、記録を正して本来の信用情報の信用力を取り戻すために、数十年という年月と数十万円という費用がかかった人もいます。

ほとんどの情報漏えい事件では、メールアドレスやパスワードを変更すれば済みます。しかし、社会保障番号を変更することはできません。米財務コンサルティング会社のJavelin社の調査によると、2016年に米国で1,540万人が個人情報の盗難被害に遭い、被害総額は160億ドルにのぼります。個人情報を悪用した詐欺で直接的に金銭的な被害を受けた被害者の損害額は平均で7,761ドルです。社会保障番号が一度ダークウェブに漏えいされると、永久に残り、取り返しがつかなくなります。そうなると、生涯、個人情報がリスクに晒されることになります。

ハッカーはその後も窃取したデータをアンダーグラウンドの犯罪者フォーラムで売買するため、被害者はいつまでも被害に遭うことになります。Dell SecureWorks社によると、ハッカーの間では、氏名、生年月日、住所、銀行口座情報、銀行の認証情報は一式で、30ドルで売られているのに対し、社会保障番号と名前と住所の組み合わせは250ドルで売られています。

調査を受けるEquifax

すでに、Equifaxは各方面から痛烈な批判を受けています。同社は2件の集団訴訟を抱え、米連邦捜査局(FBI)、3つの州の司法長官、下院金融サービス委員会による調査を受けているだけでなく、1人の議員は下院司法委員会に対して今回の情報漏えいについて調査するよう指示しました。(何らかのWebアプリの脆弱性を通じて)情報漏えいが始まったのは5月半ば、情報漏えいが発覚したのは7月29日でしたが、すぐにアカウントのモニタリングを始めるべき顧客に対して情報が公表されるまで40日が経過していました。顧客はおそらく生涯にわたって自身の信用情報レポートが勝手に変更されていないかモニタリングし続けなければならないにもかかわらず、同社が提供しているのは1年間の無償モニタリングサービスだけです。5

注意すべきこと

アメリカ国民の半分が被害を受けていると推定される今回の情報漏えい被害にご自身も受けている可能性がある場合、何をするべきでしょうか。EquifaxのWebサイトでは、情報漏えいのあったアカウントのリストに自分の名前が載っているか確認できます。しかし、それを確認した結果だけでは結論を出せないおそれもあります。

知名度があり定評のあるクレジット(信用情報)モニタリングサービス(今回の情報漏えいのニュースに対応して詐欺的なサービスがポップアップ表示され場合もあります)に登録し、クレジットカードの利用停止を検討することをお勧めします。そうすれば、他人があなたの名前を使ってクレジットカードを作ることは防げるでしょう。クレジットレポートと財務レポートに目を光らせ、銀行口座で利用金額が一定水準を超えたら利用停止になるようにして、他人に知られてはならないすべてのアカウントのパスワードを変更し、アカウントごとに異なる推測されにくいパスワードを使うようにしましょう。また、携帯電話にメールが届く多要素認証機能に登録して、たとえば本当に本人がアカウントにログインしているのかを確認できるようにする必要もあります。

情報漏えいは以前からありましたが、今回の漏えいは数百万人が特に用心しなければならない事態です。Yahooの情報漏えいのほうが影響を受けるアカウント(15億件)は多いかもしれませんが、今回の漏えいのほうが間違いなく、非常に多くの人が極めて深刻な痛手を長期間に渡って受けることになります。

Tags: