Webサイトからの個人情報漏えい/流出(原因と被害)
セキュリティ対策の専門家でないサイト運営者の皆さんにとって、Webサイトセキュリティは疑問だらけ。EC/オンラインショップ、顧客/会員管理、企業ホームページ、BtoBサイト…など、様々なWebサイトに共通の対策を分かりやすく解説します!
【1-1】Webサイトからの個人情報漏えい・流出(前編:原因と被害)
Webサイトを運営する際に気をつけるべき項目の1つが、不正アクセスによる「個人情報の漏えい」です。最近では大規模な漏えい事件が発生し、大きな事件になりました。報道を記憶している方、または実際に被害の対象となった方も多いでしょう。まさに Webサイトの責任者や運用者としてこの事件に接した方に向けて、「現実的な対策としてどう何を行えばいいのか」「対策の前提としてどういったことを考えればいいのか」を、わかりやすくまとめてみました。この機会にちょっと整理してみませんか?
2011年7月5日
※個人情報漏えいの原因はいろいろありますが、この記事では最近特に問題になっている、Webサイトへの不正アクセスによる漏えいに絞って説明しています。
Webサイトで扱う個人情報 ~個人情報っていったい何?~
個人情報の定義は、「個人情報の保護に関する法律」の第二条第1項で定められています。
e-Gov「個人情報の保護に関する法律」
政府広報オンライン内では、より分かりやすい表現で解説されています。
どんな情報が「個人情報」になるの?
--------------------------------
個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。これには、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含まれます。例えば、生年月日や電話番号などは、それ単体では特定の個人を識別できないような情報ですが、氏名などと組み合わせることで特定の個人を識別できるため、個人情報に該当する場合があります。また、メールアドレスについてもユーザー名やドメイン名から特定の個人を識別することができる場合は、それ自体が単体で、個人情報に該当します。
このほか、番号、記号、符号などで、その情報単体から特定の個人を識別できる情報で、政令・規則で定められたものを「個人識別符号」といい、個人識別符号が含まれる情報は個人情報となります。例えば、次のようなものです。
(1) 身体の一部の特徴を電子処理のために変換した符号で、顔認証データ、指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈、掌紋などのデータがあります。
(2) サービス利用や書類において利用者ごとに割り振られる符号で、パスポート番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー、保険者番号などがあります。
政府広報オンライン「『個人情報保護法』をわかりやすく解説 個人情報の取扱いルールとは?」より抜粋
「不正アクセス行為の禁止等に関する法律」により、不正アクセスは法律でも禁止されています。
参考: 富山県警察サイバー犯罪対策室 「不正アクセス禁止法の概要」
個人情報漏えいの原因 ~なぜ個人情報流出事故は発生するの?~
漏えいする大きな理由は「個人情報がお金になるから」。個人情報自体を売買したり、不正入手した決済情報を使って換金する犯罪者がいます。それ以外にも興味本位でWebサイトを攻撃する人もいます(一時期、ハッカー集団といったものがマスコミをにぎわしていましたが…)。最近では、利益を目的とした攻撃、つまり前者が急激に増加していると考えられています。
インターネット上のビジネスが隆盛の一途をたどる中、残念ながらこういった活動をする人たちは今後も後を絶たないでしょう。
うわさ話のレベルですが、ある発展途上国では不正アクセスは法律で禁止されておらず、おおっぴらにビジネスになっているという話もあります。少年が漏えいした情報を元にオンラインゲームを利用して、アイテムやゲーム内通貨の売買で一家を養っている美談(?)も、まことしやかにささやかれています。
こうした不正アクセスを行う動機と、Webサイトの欠陥、すなわち 「脆弱(ぜいじゃく)性」 とが結び付くことで、情報流出事故は容易に起こります。
経済的動機による不正アクセスが増加し、国境を越えて行われるのに対し、各国で法律整備度合いのばらつきが大きい現状を踏まえると、不正アクセスによる個人情報漏えいは一時的なブームではなく、脆弱性が放置される限り、今後もそう簡単に無くならないものと考えた方がよさそうです。
※NPO日本ネットワークセキュリティ協会「情報セキュリティインシデントに関する調査報告書」
(2005~2009年)より、各年度の国内個人情報漏えいインシデントの概要および原因分析を参考
※経済産業省「電子商取引に関する市場調査」(平成17年~21年)より、国内EC市場規模(BtoC)を抽出
▼個人情報漏えい報告の総被害人数は落ち着きを見せている中、Webサイト/Netの不正アクセスによる被害人数は増加傾向にあります。1件当たりの流出情報数が大きいのも特徴で、さらなる被害拡大が懸念されます。
※NPO日本ネットワークセキュリティ協会「情報セキュリティインシデントに関する調査報告書」
(2005~2009年)より、各年度の国内個人情報漏えいインシデントの概要および原因分析を参考
個人情報漏えいの事例と傾向 ~どのくらい、どんな事件が起こっているの?~
最近では有名ゲームサイトからの情報漏えいが発生しましたが、過去にも不正アクセスによるWebサイトからの個人情報流出事故がたくさん発生しています。また、表面化されている事故は一部で、本当はもっとたくさん事故が起きているという意見もあります。
「不正アクセス」の事実だけで、詳細な原因が公表されていない場合も多いですが、Webサイト上のアプリケーションに存在する脆弱性が、運営者側に発見されず放置されていたため、外部攻撃によってデータベース上の個人情報が抜き出された、というパターンが典型的なものと言えます。
▼国内で発生したWebサイトへの不正アクセスによる個人情報漏えい・流出事件の例
報告・報道 の時期 |
攻撃を受けた Webサイト |
攻撃・個人情報漏えい被害の概要 |
---|---|---|
2005年3月 | 旅行会社サイト | 不正アクセスによる断続的な侵入を受け、約9万人分の顧客情報が流出 |
2005年6月 | 人材派遣会社 | SQLインジェクション攻撃により約6万件の登録者情報が流出 |
2005年8月 | 新聞社運営サイト | 約4万件の個人情報が流出(不正アクセスの容疑者が逮捕されたことから漏えいが発覚) |
2005年11月 | メーカーECサイト | SQLインジェクション攻撃によりクレジットカード情報を含む約5千件の個人情報が流出 |
2008年7月 | 通販サイト | 未使用のケータイサイトからSQLインジェクション攻撃を受け、2万8千件あまりのカード情報が流出 |
2008年9月 | ペット用品販売会社 | サイバー攻撃による不正侵入で約1万8千件の個人情報が流出 |
2009年8月 | 通販サイト | 中国のIPアドレスからの不正アクセスにより、約3万4千件のクレジットカード情報を含む約14万8千件の個人情報が流出 |
2010年3月 | アウトドア用品メーカー | データベースサーバーがSQLインジェクションで断続的に攻撃され、約1万1千人分のカード情報が流出 |
2010年8月 | ネットスーパー | プロのハッカーによるSQLインジェクション攻撃で約1万2千件のクレジットカード情報が流出 |
2010年9月 | オンラインPCショップ | 外部からの不正アクセスにより、最大約7万4千件のクレジットカード情報を含む約25万4千件の顧客情報が流出 |
2010年9月 | 交通会社予約サイト | 海外からの不正アクセスにより、クレジットカード情報約5万2千件を含む約16万9千件の顧客情報が予約サイトから流出 |
2010年11月 | ゲームサイト | オンラインゲームサイトへの不正アクセスにより約173万件の会員情報が流出 |
2010年12月 | 百貨店 | 外部からの不正アクセスにより、約3千枚のクレジットカード情報を含む約1万件の個人情報がショッピングサイトから流出 |
2011年11月 | 電気機器メーカー | 不正アクセスにより、アカウントサービス登録者の住所、氏名、メールアドレスとクレジットカード情報、デビットカード履歴などが流出 |
2012年3月 | ソフトウェアダウンロードサイト | クレジットカード情報を含む個人情報が漏洩の可能性。クレジットカード情報463件の流出 |
2013年5月 | 通信業サイト | 不正アクセスによりIDが抽出されたファイルが作成され、外部に流出した可能性。うち148.6万件については、不可逆暗号化されたパスワードおよびパスワード再設定に必要な情報の一部が流出 |
2014年11月 | ECサイト | 外部からの不正アクセスによりシステムに侵入され、クレジットカード情報1,160件流出 |
2015年6月 | 芸能関連サイト | 公式サイトでチケットを購入したユーザーや、ファンクラブに入会又は更新を行った会員情報が流出 |
2016年4月 | テレビ局サイト | Webのモバイルサイトで利用していたソフトウェアがOSコマンドインジェクションにより不正アクセスを受けた。最大で43万件の個人情報(氏名、住所や電話番号など)が外部に流出 |
2017年12月 | 大学サイト | 約8万人の情報が登録されていたデータベースへ海外のIPを経由し不正アクセスがあり、6万9,549名分の情報は攻撃者によりダウンロードされていた |
個人情報漏えい事件判明の経緯
情報漏えいが発生したかどうかを、簡単に調べる方法は残念ながらあまり確立されていません。ログファイルからチェックする方法は比較的手軽に実施できますが、膨大なログをチェックすることになるため、常に実施するにはあまり現実的な方法ではありません。
いろいろな事件のケースを調べると、事件発生後しばらくしてから判明することが多いようです。ユーザーやカード会社などから「情報が漏えいしている疑いがある」という外部からの連絡が、漏えいを認識するきっかけとなります。情報漏えい対策マニュアルや、対策となるサービスを導入していれば、社内での対応者がいち早く対応できますが、それらが用意されていない場合では、第三者機関やベンダーへの確認・対策が行われ、その結果をもって漏えい被害を受けた側がようやく確認する、ということも珍しくありません。
漏えいを認識しながらも、対応に手間取るケースが後を絶たないのです。
個人情報漏えいの被害と影響 ~事故が起こるとどのくらい大変なの?~
【1】 顧客への直接的被害
情報漏えい事件が起こると、まずWebサイトを利用しているユーザーに直接的な被害が発生する可能性が出てきます。個人を特定しうる重要な情報が第三者の手にわたって(売買される例も多いようです)、登録した覚えのないDMが届いたり、他のWebサイトで同じパスワードとIDの組み合わせを利用しているユーザーには、パスワードやIDとなるメールアドレスが漏えいすると、他のサイトで不正アクセスをされる被害も発生してしまいます。
特に重要な決済情報であるクレジットカード番号が流出することはもちろん大問題です。しかし、それ以外の情報でも、上記のように悪用の方法は多岐にわたります。Webサイトで会員情報等を管理する場合は、予想以上の被害が発生しうることを十分に意識するべきだと言えます。
【2】 被害サイトが、クレジットカード決済を利用できなくなることも
クレジットカードで決済可能なECサイトでは、事件が判明すると決済サービスの利用を一時的に停止されてしまうこともあります。あるECサイトではクレジットカード決済を再開するために、いろいろなセキュリティー対策を実施することが必要になったそうですが、対策費用がかなり高額だったために実施できず、事故から数年たった現在でもクレジットカード決済は再開されていないようです。
特に重要な決済情報であるクレジットカード番号が流出することはもちろん大問題です。しかし、それ以外の情報でも、上記のように悪用の方法は多岐にわたります。Webサイトで会員情報等を管理する場合は、予想以上の被害が発生しうることを十分に意識するべきだと言えます。
【3】 調査や報告など各種手続きに追われる
◆ 警察への連絡
本当にWebサイトから情報が漏えいしている場合は、盗難事件にあたる可能性がありますので、警察に連絡しなくてはなりません。「警視庁サイバー犯罪対策課」や「京都府警察本部 サイバー犯罪対策課」では、電話やメールでの相談窓口が設置されています。緊急を要すると判断した場合は、110番に電話し所轄の警察署に相談しましょう。
◆ セキュリティー調査や対策の実施
漏えいしている個人情報の内容を確認したり、その証拠(Webサーバー等のシステム)を保全したり、そもそも稼働しているWebサイトを停止するか等をすぐに決めなくてはなりません。できれば、そういった非常事態が発生した際の連絡先一覧表と意志決定プロセスを組織内でまとめて周知しておきましょう。
◆ 利用者や関係者、マスコミへの案内
Webサイトのユーザーや取引先の企業に対していち早く連絡することが大切です。事件の発生からその後の対処経過も含めてWebサイトにて公表するとユーザーの不安も軽減できます。逆に、公表が遅れると不安が増大しかねません。
情報処理推進機構:情報漏えい発生時の対応ポイント
万が一、漏えい事故が起こってしまったら何をすべきでしょうか? 第一に考えるべきはユーザーへの影響です。これを防ぐために迅速な対応を心がけましょう。
独立行政法人 情報処理推進機構(IPA)では、「情報漏えい発生時の対応ポイント集」と題した情報漏えい時に行うべき対応をまとめた資料をPDFファイルで発表しています。念のため確認しておきましょう。
【4】 損害賠償責任
過去に何度も報道されていますので、皆さんもご存じだとは思いますが、情報漏えい事件が発生すると、被害ユーザーに対して補償や損害賠償をすることがあります。金額の多寡はまちまちですが、漏えいしたしまった情報の内容によっては、非常に高額になる事例もあります。
※計算例: 一人1万円×10000人=1億円
ユーザーへの補償額・賠償額だけでなく、それに付随する対応のために、専門家への報酬や手続き費用など、まとまった金額が必要となることが一般的です。
【5】 人材面での損害
ユーザーへの被害や対応、また金銭的な被害の陰に見過ごされがちですが、事故が発生すると、事後対応に苦慮し、組織がとても疲弊してしまう例が多いのです。その結果、問題の解決にあたったキーマンが会社を辞めてしまう例も少なくないようです。
もちろんお金の問題も大切ですが、それ以上に、優秀な人材が疲弊し会社を去ってしまう、人的被害も小さくありません。もし一人に漏えいに関する対応を任せてしまい、その一人が職を辞したら、社内には情報漏えい対策のノウハウは残りません。組織で対応したとしても、降ってわいた情報漏えい対応に忙殺され、中小企業では企業ドメインの縮小に発展することも珍しくはありません。情報漏えいを未然に防ぐための対策は、企業規模によっては会社自体を守ることにも直結するのです。
【6】 ネットに残り続ける風評
そして、個人情報の流出がその後の事業にじわじわと影響を与え続けるのが、長期間にわたる風評です。事故発生後の的確な対応や、追加したセキュリティー対策によりユーザーの信頼を速やかに回復できる場合もありますが、一般的には、既存のユーザーが離れてしまうだけでなく、新規のユーザーも警戒してしまうなど、数年にわたり売上や利益に影響することが多いようです。
ネットでの情報はなかなか消えないため、ECショップの名前で検索すると、漏えいに関するニュースが検索結果の上位に表示される、などということも考えられます。
個人情報漏えい事故の責任 ~誰の責任なの?~
情報漏えいの責任については、状況によっては、漏えいした本人やWebサイト制作者にもあるのではないかという意見もありますが、いままでの判例等をみると、やはり企業側に損害賠償等の責任を求めることが多いようです。
ECサイトに限らず、Webサイトを運営する企業の多くは、外部業者にプログラムの開発や運用を依頼しています。委託元であるサイト運営者自身が、Webサイトのセキュリティー上の問題を意識し、委託先業者と情報を共有してしっかりと管理しましょう。
参考: 情報処理推進機構「3. 安全なウェブサイト開発のための企画・発注・要件・検収~ 脆弱性を作らないために ~(PDF)」
(後編に続く)