どっちが危険?1次被害と2次被害
ウイルスによる2次被害、盗まれたパスワードがWebで公開される:ITproより
米シマンテックは2007年5月15日(米国時間)、ウイルスによって盗まれた個人情報が、Webサイトで公開されているケースを確認したとして注意を呼びかけた(シマンテックの情報)。ウイルスが盗んだクレジットカード番号やオンラインサービスのアカウント情報などが、誰でもアクセスできる状態になっているという。
同社では最近、「Infostealer.Snifula.C」という新しいウイルス(マルウエア)を確認した。このウイルスは、感染したパソコンから重要な情報を盗み、特定のWebサイトに送信する。ウイルス作者はその情報を犯罪組織などに売ってお金をもうける。
こういったウイルスは近年増えていて、めずらしいものではない。今回のウイルスが特徴的なのは、盗んだ情報が送信されて保存されているWebサイトに、アクセス制限がかかっていないこと。通常は、ウイルス作者以外は盗んだ情報を閲覧できないようになっているが、今回のケースでは、誰でも閲覧できる。
5月15日時点で、このサイトには300Mバイトを超える個人情報が保存されていたという。具体的には、ユーザーの氏名や住所、電話番号、クレジットカード番号に加え、メールやオンラインバンク、SNSサイト「Myspace」やオークションサイト「eBay」のアカウント情報(ユーザーIDやパスワード)などが保存されている。これらの情報には、検索サイトで探せば、誰でもアクセスできるという。
どうもウィルス作者の意図とは違った展開になってしまったようだ。
せっかく盗んだのに全部丸見えにしてしまっては、作者の苦労が報われない。
・・・って、作者側の立場に立った話だが。。。
盗まれた側は、どんな理由にせよ、意図にせよ、たまったものではない。
インターネットが普及しはじめた頃の話。クレジットカード会社によっては、ネット決済に係わることでトラブルや詐欺に遭っても保証しない会社もあった。
最近では、カード利用者側に過失がなければ保証の対象になってきたようだ。
それだけネット決済が普及し、カード会社にとっても大きな収入源になってきた証だろう。
使った分だけの手数料で儲ける以上は・・・そうなるだろう。
ここで被害の1次的なものと、2次的なものを考えてみたい。
今回のようなケースは、1次と2次がわかりやすい。
例えば、1次的な問題を情報漏洩に置き換えた場合は・・・
・ケース1.大手エステ会社の大量漏洩事件の場合
何年前になるのだろう?集団訴訟まで起こされた事件だ。
1次的な問題は、Web上でアンケートや採用情報などの個人データが丸見えになってしまったことだった。技術的な設定ミスが起因した。
開き直っても仕方ないが、漏れてしまったものはどうにもならない。
一方で、被害者の方々は詳細な個人情報が多岐にわたり漏れたことで、不安な日々を過ごす結果になってしまった。この見えない不安というモノサシは計り知れないものだ。
この場合の2次的な問題は、漏洩したデータがインターネット上に再度流れてしまったこと。
1次的にも流れたが、デジタルデータの恐いところで簡単にコピーできてしまうものが、更なる2次的な漏洩の加速をもたらした。
Winnyなどのファイル共有ソフトなどを通じ、流れたのだ。
2次的な対策がこのケースの場合は、人海戦術で対応したことだろう。
モグラたたきのように、共有しているファイルを見つけると警告を出していた。
これにかかった費用は莫大だろう、としか言いようがない。実際に私にはわからないが、莫大だったことだけは間違いのないことだ。
では、3次・4次的な問題はどうだったのだろうか?
現実にそこまでの情報を私は知らない。しかし詳細なる個人情報があれだけの件数漏れれば、ストーカー等の被害もあっただろう。
赤の他人から、何もしていなくとも嫌がらせのようなこともあったようだ。
簡単に話をまとめることのできないほどに、深い問題。
震災でも2次被害が大きいのと同じように、1次的なものは連鎖していくのだ。
情報セキュリティでも同じこと。
じゃあ、1次的な問題さえなければ・・・何も起こらない。この順番はウィルス対策と同じく、ウィルスが発生しなければ、そのウィルスに対するワクチンは作られることはないのだ。
でも、発生してしまう現実。
それも自分だけではどうにもコントロール出来ない、他人が絡むこと。
今回のクレジットカードだったら、カードを持たないという選択も充分にあり得ること。
カード会社が保証してくれるから、良いのだろうか?
これが、デジタル社会の重要な問題で、私も深く追求しているところだ。
何をするにも、便利なものを得ることと同時に、危険も伴うもの。
これも情報セキュリティだけの問題ではない。
どんな場合においても同じことは発生するので、ウィルスだから・・・ではないことだけを知ってもらいたい。
新倉茂彦
最新記事 by 新倉茂彦 (全て見る)
- 【共通用語】パスワードを電話で伝える時に間違えない方法 - 2020/12/03
- 【国勢調査2020】調査員支給のバッグがフリマに←総務省は注意喚起? - 2020/09/15
- 【国勢調査2020】騙されないために最低限守るべき注意3ヶ条(前回2015年) - 2020/08/05
45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ
■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。
■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。