ウイルスによる2次被害、盗まれたパスワードがWebで公開される：ITproより

米シマンテックは2007年5月15日（米国時間）、ウイルスによって盗まれた個人情報が、Webサイトで公開されているケースを確認したとして注意を呼びかけた（シマンテックの情報）。ウイルスが盗んだクレジットカード番号やオンラインサービスのアカウント情報などが、誰でもアクセスできる状態になっているという。

同社では最近、「Infostealer.Snifula.C」という新しいウイルス（マルウエア）を確認した。このウイルスは、感染したパソコンから重要な情報を盗み、特定のWebサイトに送信する。ウイルス作者はその情報を犯罪組織などに売ってお金をもうける。

こういったウイルスは近年増えていて、めずらしいものではない。今回のウイルスが特徴的なのは、盗んだ情報が送信されて保存されているWebサイトに、アクセス制限がかかっていないこと。通常は、ウイルス作者以外は盗んだ情報を閲覧できないようになっているが、今回のケースでは、誰でも閲覧できる。

5月15日時点で、このサイトには300Mバイトを超える個人情報が保存されていたという。具体的には、ユーザーの氏名や住所、電話番号、クレジットカード番号に加え、メールやオンラインバンク、SNSサイト「Myspace」やオークションサイト「eBay」のアカウント情報（ユーザーIDやパスワード）などが保存されている。これらの情報には、検索サイトで探せば、誰でもアクセスできるという。

どうもウィルス作者の意図とは違った展開になってしまったようだ。

せっかく盗んだのに全部丸見えにしてしまっては、作者の苦労が報われない。

・・・って、作者側の立場に立った話だが。。。

盗まれた側は、どんな理由にせよ、意図にせよ、たまったものではない。

インターネットが普及しはじめた頃の話。クレジットカード会社によっては、ネット決済に係わることでトラブルや詐欺に遭っても保証しない会社もあった。

最近では、カード利用者側に過失がなければ保証の対象になってきたようだ。

それだけネット決済が普及し、カード会社にとっても大きな収入源になってきた証だろう。

使った分だけの手数料で儲ける以上は・・・そうなるだろう。

ここで被害の１次的なものと、２次的なものを考えてみたい。

今回のようなケースは、１次と２次がわかりやすい。

例えば、１次的な問題を情報漏洩に置き換えた場合は・・・

・ケース１．大手エステ会社の大量漏洩事件の場合

何年前になるのだろう？集団訴訟まで起こされた事件だ。

１次的な問題は、Web上でアンケートや採用情報などの個人データが丸見えになってしまったことだった。技術的な設定ミスが起因した。

開き直っても仕方ないが、漏れてしまったものはどうにもならない。

一方で、被害者の方々は詳細な個人情報が多岐にわたり漏れたことで、不安な日々を過ごす結果になってしまった。この見えない不安というモノサシは計り知れないものだ。

この場合の２次的な問題は、漏洩したデータがインターネット上に再度流れてしまったこと。

１次的にも流れたが、デジタルデータの恐いところで簡単にコピーできてしまうものが、更なる２次的な漏洩の加速をもたらした。

Winnyなどのファイル共有ソフトなどを通じ、流れたのだ。

２次的な対策がこのケースの場合は、人海戦術で対応したことだろう。

モグラたたきのように、共有しているファイルを見つけると警告を出していた。

これにかかった費用は莫大だろう、としか言いようがない。実際に私にはわからないが、莫大だったことだけは間違いのないことだ。

では、３次・４次的な問題はどうだったのだろうか？

現実にそこまでの情報を私は知らない。しかし詳細なる個人情報があれだけの件数漏れれば、ストーカー等の被害もあっただろう。

赤の他人から、何もしていなくとも嫌がらせのようなこともあったようだ。

簡単に話をまとめることのできないほどに、深い問題。

震災でも２次被害が大きいのと同じように、１次的なものは連鎖していくのだ。

情報セキュリティでも同じこと。

じゃあ、１次的な問題さえなければ・・・何も起こらない。この順番はウィルス対策と同じく、ウィルスが発生しなければ、そのウィルスに対するワクチンは作られることはないのだ。

でも、発生してしまう現実。

それも自分だけではどうにもコントロール出来ない、他人が絡むこと。

今回のクレジットカードだったら、カードを持たないという選択も充分にあり得ること。

カード会社が保証してくれるから、良いのだろうか？

これが、デジタル社会の重要な問題で、私も深く追求しているところだ。

何をするにも、便利なものを得ることと同時に、危険も伴うもの。

これも情報セキュリティだけの問題ではない。

どんな場合においても同じことは発生するので、ウィルスだから・・・ではないことだけを知ってもらいたい。

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士 ： ブログ

日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

最新記事 by 新倉茂彦 (全て見る)

• 原因は理解出来ない会社側にあり ⇒ 結果はセキュリティ要員が燃え尽き症候群で離職するという、誰にも良い状況とならない悪循環 - 2019/07/10
• 7payの不正利用で考える「不正」という言葉の違和感 - 2019/07/04
• 【33%】退職後も前職場の共有ファイルにアクセスできる、との調査結果を見て何が気になりますか？ - 2019/06/28

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合：1事例2分程度、45事例すべて実施（90分の研修）
様々な事例を知る　⇒　基礎知識が身につく
⇒　身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合：目安は5分から30分程度、熟考することにより深く身についていきます。
（直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります）
身近な事故事例をテーマ　⇒　自ら（グループで）考える
⇒　他者との討論（発表など）により、多面的なヒントを得ることを目指します。

詳細はこちらへ