2007/05/16 新倉茂彦 CNETブログアーカイブ

どっちが危険?1次被害と2次被害

ウイルスによる2次被害、盗まれたパスワードがWebで公開されるITproより

米シマンテックは2007年5月15日(米国時間)、ウイルスによって盗まれた個人情報が、Webサイトで公開されているケースを確認したとして注意を呼びかけた(シマンテックの情報)。ウイルスが盗んだクレジットカード番号やオンラインサービスのアカウント情報などが、誰でもアクセスできる状態になっているという。

同社では最近、「Infostealer.Snifula.C」という新しいウイルス(マルウエア)を確認した。このウイルスは、感染したパソコンから重要な情報を盗み、特定のWebサイトに送信する。ウイルス作者はその情報を犯罪組織などに売ってお金をもうける。

こういったウイルスは近年増えていて、めずらしいものではない。今回のウイルスが特徴的なのは、盗んだ情報が送信されて保存されているWebサイトに、アクセス制限がかかっていないこと。通常は、ウイルス作者以外は盗んだ情報を閲覧できないようになっているが、今回のケースでは、誰でも閲覧できる。

5月15日時点で、このサイトには300Mバイトを超える個人情報が保存されていたという。具体的には、ユーザーの氏名や住所、電話番号、クレジットカード番号に加え、メールやオンラインバンク、SNSサイト「Myspace」やオークションサイト「eBay」のアカウント情報(ユーザーIDやパスワード)などが保存されている。これらの情報には、検索サイトで探せば、誰でもアクセスできるという。

どうもウィルス作者の意図とは違った展開になってしまったようだ。

せっかく盗んだのに全部丸見えにしてしまっては、作者の苦労が報われない。

・・・って、作者側の立場に立った話だが。。。

盗まれた側は、どんな理由にせよ、意図にせよ、たまったものではない。

インターネットが普及しはじめた頃の話。クレジットカード会社によっては、ネット決済に係わることでトラブルや詐欺に遭っても保証しない会社もあった。

最近では、カード利用者側に過失がなければ保証の対象になってきたようだ。

それだけネット決済が普及し、カード会社にとっても大きな収入源になってきた証だろう。

使った分だけの手数料で儲ける以上は・・・そうなるだろう。

ここで被害の1次的なものと、2次的なものを考えてみたい。

今回のようなケースは、1次と2次がわかりやすい。

例えば、1次的な問題を情報漏洩に置き換えた場合は・・・

・ケース1.大手エステ会社の大量漏洩事件の場合

何年前になるのだろう?集団訴訟まで起こされた事件だ。

1次的な問題は、Web上でアンケートや採用情報などの個人データが丸見えになってしまったことだった。技術的な設定ミスが起因した。

開き直っても仕方ないが、漏れてしまったものはどうにもならない。

一方で、被害者の方々は詳細な個人情報が多岐にわたり漏れたことで、不安な日々を過ごす結果になってしまった。この見えない不安というモノサシは計り知れないものだ。

この場合の2次的な問題は、漏洩したデータがインターネット上に再度流れてしまったこと。

1次的にも流れたが、デジタルデータの恐いところで簡単にコピーできてしまうものが、更なる2次的な漏洩の加速をもたらした。

Winnyなどのファイル共有ソフトなどを通じ、流れたのだ。

2次的な対策がこのケースの場合は、人海戦術で対応したことだろう。

モグラたたきのように、共有しているファイルを見つけると警告を出していた。

これにかかった費用は莫大だろう、としか言いようがない。実際に私にはわからないが、莫大だったことだけは間違いのないことだ。

では、3次・4次的な問題はどうだったのだろうか?

現実にそこまでの情報を私は知らない。しかし詳細なる個人情報があれだけの件数漏れれば、ストーカー等の被害もあっただろう。

赤の他人から、何もしていなくとも嫌がらせのようなこともあったようだ。

簡単に話をまとめることのできないほどに、深い問題。

震災でも2次被害が大きいのと同じように、1次的なものは連鎖していくのだ。

情報セキュリティでも同じこと。

じゃあ、1次的な問題さえなければ・・・何も起こらない。この順番はウィルス対策と同じく、ウィルスが発生しなければ、そのウィルスに対するワクチンは作られることはないのだ。

でも、発生してしまう現実。

それも自分だけではどうにもコントロール出来ない、他人が絡むこと。

今回のクレジットカードだったら、カードを持たないという選択も充分にあり得ること。

カード会社が保証してくれるから、良いのだろうか?

これが、デジタル社会の重要な問題で、私も深く追求しているところだ。

何をするにも、便利なものを得ることと同時に、危険も伴うもの。

これも情報セキュリティだけの問題ではない。

どんな場合においても同じことは発生するので、ウィルスだから・・・ではないことだけを知ってもらいたい。

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。
詳細はこちらへ
カテゴリー
CNETブログアーカイブ