NHK 解説委員室

解説アーカイブス これまでの解説記事

「相次ぐ個人情報大量流出 被害の実態から学べ」(時論公論)

三輪 誠司  解説委員

チケット販売大手の「ぴあ」や、東京都の納税サービスなど、ホームページのシステムから数十万人の個人情報が流出する事件が相次いでいます。最近の被害の多くは同じソフトウエアの欠陥が原因で、経緯を詳しく調べると、従来の情報セキュリティー対策だけでは防ぎきれないことが明らかになってきました。個人情報の大量流出が頻繁に発生するという、いわば危機的な状況をどのようにしたら変えていくことができるか考えます。

j170510_00mado.jpg

j170510_02.jpg

被害はことし3月から相次いでいます。件数が最も多かったのは、メガネの販売会社ジンズ で、最大で75万件の個人情報。次に都税のクレジットカード支払サイトで36万4000人のクレジットカード情報です。チケット販売の「ぴあ」が運営するプロバスケットリーグBリーグからは14万7000人で、ここから流出したクレジットカードカード情報による不正利用がおよそ200件、630万円分にのぼっています。これらはいずれも「Apache Struts2」というソフトウエアの欠陥を狙ったサイバー攻撃によるものです。

j170510_03_0.jpg

このソフトは、ホームページを使ったコンピューターシステムを開発する時に使います。世界中のプログラマーが共同開発をしている無料のソフトで、比較的大規模なシステムで幅広く利用されています。しかし、このソフトに欠陥があることが明らかになり、インターネットから特定の信号を送り付けられると、内部に保存されている情報を流出させるなど、システムを自由に操られてしまうことがわかりました。

j170510_03_1.jpg

ソフトウエアの欠陥はないことが望ましいのですが、運用をはじめた後で明らかになることがあります。その時、ソフトを開発した人が欠陥を直すパッチというソフトを公開します。欠陥を防ぐばんそうこうのようなものです。ホームページを運用している会社は、自分たちでこのパッチを入手し、システムに組み込んでサイバー攻撃を防ぎます。通常は数週間後に導入されることが多いです。

j170510_04.jpg

今回の場合、3月6日の夜に欠陥が明らかになり、すぐにパッチが公開されました。
しかし翌日からこの欠陥を狙うサイバー攻撃が世界中に蔓延し、多くのシステムは欠陥の修正が間に合わず被害に遭ったのです。3月8日には住宅金融支援機構、都税支払サイト、JETRO が侵入され、11日にニッポン放送など、まさにじゅうたん爆撃のように攻撃が繰り返されました。

j170510_05.jpg

システムに届いた攻撃信号は、アメリカ、中国、インドからなど複数からあり、犯人が誰であるかはわかっていません。
今回のように、守るタイミングがほとんどない時期に、サイバー攻撃が広がってしまうケースは、5年ほどから増加しています。それに対して、守る側の企業の対策は技術的にも意識のうえでも追いついていません。たとえば、今回被害にあったケースの中でも、欠陥修正をいつどのようにする予定だったのか、開発業者に聞かないとわからないと答えるところもあります。

j170510_06_1.jpg

では、具体的に、どのように対策をしていけばいいでしょうか。最も重要なのが、迅速な安全対策を取る体制を企業側が整えることです。しかし心配な状況があります。国内企業はシステムの開発を外部のIT 企業に全て外注、つまり丸投げする傾向にあり、自分の会社のシステムにどんなソフトが使われているのかなど構造がわからないという企業が少なくないのです。ホームページの開発を外注したものの、セキュリティー対策を含む保守契約はコストがかかるのでしないという企業すらあります。それは無責任体質といわざるを得ません。企業が保有している個人情報は、消費者本人の財産で、情報を守るのは企業として最低限の責任だからです。

まずは、社内に情報セキュリティーの専従の担当者を設けることです。その担当者は、自社のシステム構成を把握できるようにするとともに、ソフトウエアの欠陥に関する情報を入手できるようにします。攻撃が蔓延している緊急事態には、システムを一時的に停止してすぐに対策することも必要でしょう。顧客の財産を守っていく当事者の責任として、外注先ではできない判断をするべきです。

j170510_07.jpg

国も被害をなくす責任があります。経済産業省は「サイバーセキュリティ経営ガイドライン」をおととしの末に公表し、その中で「防衛策には、セキュリティーへの投資が必要」という文言を盛り込んでいます。これは、個人情報の流出が、経営者の責任追及や、訴訟につながる恐れがあるとして、カネとヒトをかけた自主的な対策強化を促すものでした。
 
しかしサイバー攻撃は、ガイドラインが公表されたときより深刻になっています。
セキュリティー対策を企業の自主性に任せるだけでは放置しているのと同じです。
国は、理念を実行に移すための指導を考えるべきです。情報セキュリティーの専従の担当者の設置を義務付けるなどの積極的な指導も検討するべきでしょう。

そしてサービスを利用する私たち消費者ができる対策を考えます。流出そのものを防ぐというより、実害を減らすための方法です。

j170510_08.jpg

まず、クレジットカード情報です。まず毎月届くカードの明細を必ず確認することです。そして身に覚えのない利用があれば、すぐにカード会社に連絡してください。不正利用の代金を請求されることはありません。また、ぴあのケースでは、会員自身が不正利用を指摘したことが、不正アクセスの発見つながっています。
自分の被害の確認だけでなく、他の人の被害の発見にもつながったのです。
 
j170510_09_1.jpg

次に、パスワードの流出にも備えなければなりません。多くの人が複数のインターネットサービスを利用していますが、パスワードはすべてに同じという人が少なくありません。しかし、そのパスワードが流出してしまうと、別のサイトへのなり済ましの被害に遭います。これを防ぐためには、ホームページごとに異なるものにしなければなりませんが、複雑なパスワードをいくつも覚えるのはほぼ無理です。このため、たとえば手帳にパスワードのリストを手書きしておく。またはパスワード管理のソフトを利用することをお勧めします。手帳の場合は紛失の心配があり、ソフトの場合は使い方を覚えなければなりませんが、今の時代には、必要な対策です。

j170510_10.jpg

ネットショッピングなどが普及し、個人情報をネットに登録するのが当たり前になっている今、誰もが被害に遭うおそれがある状況になってしまっています。その状況を放置していいはずはありません。企業・国・消費者ともに、本来するべき対策を確実に実行に移すという意識改革をしなければ、深刻な被害がいつまでも繰り返されることになってしまうのです。

(三輪 誠司  解説委員)

キーワード

関連記事