個人情報が漏洩しすぎて感覚が麻痺しそうですが、正直ヤバイことになってると思います
玩具メーカーVTechにサイバー攻撃があり480万件のアカウント情報が漏洩したかと思えば、今度はキティちゃんなどで知られるサンリオでも情報流出の痕跡が発見され、もう流出しすぎて訳が分かりません。
山本一郎です。若いころはよく酒を飲みすぎて胃の中に入っている個人情報をすべてぶちまけるケースが多々ありました。
ところで、相変わらず個人情報の漏洩する事件が続いていますが、このところ目立つのは子供が主なユーザーとなるサービスの個人情報が狙われていることです。犯行側からすれば単にセキュリティの甘いところを総当たりしていたらたまたま子供向けサービスだったというだけのことかもしれませんが、結果的に子供を人質にとられてしまったような嫌な気持ちになります。
玩具メーカーVTechにサイバー攻撃、アカウント情報480万件が漏えいか(CNET Japan 15/11/30)
VTechのデータベースには、氏名、メールアドレス、パスワード、IPアドレス、住所などのプロフィール情報が含まれていた。サンリオから情報流出か、ハローキティサイトのDB見つかる(ITmedia 15/12/22)
パスワードは、旧式のハッシュアルゴリズムであるMD5で暗号化されていたとのことで、MicrosoftのDeveloper Security部門MVP受賞者であるTroy Hunt氏によると、単純なパスワードは簡単に解読可能だという。これによりハッカーらが、他のインターネットアカウントも侵害する恐れがある。CNET Japan
データベースには330万件のアカウント情報が記録されていて、登録ユーザーの氏名、誕生日、性別、国、電子メールアドレス、パスワード(SHA-1でハッシュ化されているがソルト化はされていない)、パスワードを忘れた場合の秘密の質問と答えなどが露呈されていた。さすがにこれはねえ…。
SHA-1は危険性が指摘され、使用停止が勧告されているハッシュ関数。
(中略)
ユーザーの特定につながるIPアドレスも一部が露呈されていたが、後にセキュリティ対策が施されたとCSOは伝えている。原因はハッキングではなく、MongoDBのインストールに関する設定ミスにあるという。:http://www.itmedia.co.jp/news/articles/1512/22/news055.html|
いずれの事件もデータ保護において暗号化が施されてはいましたが現状ではとても安全とは言い切れないような古い規格が利用されていたほか、サンリオではデータベースの設定に最初からミスがあったということで、まさに残念な運用状態であります。
エンドユーザーからすればこうしたサービスを利用する際、事業者がちゃんとセキュリティ施策を導入しているであろうと都合良く解釈して信用するしかないわけですが、しかし、いかんせん事業者側ではシステムに安全性で問題があることは知りつつも事が起きない限りはずっと使い続けてしまうということですね。その結果がこういう事件になってしまうと。セキュリティ対策にコストを割きたくないというのは分かるのですが、一旦失ってしまった信用を取り戻すのはなかなかむつかしいですし、それでユーザーが離れてしまってはなんのためのコスト節減なのかという話でもあります。ここは是非しっかりとしたセキュリティ対策を講じていただきたいものです。
で、こういう個人情報の保護について議論したりしていると、世の中にはやましいことをしていなければ個人情報が誰に知られても問題ないとおっしゃる方もおられるようですが、やましいことをしていない人の個人情報でも十分悪事に活用される可能性はあるわけでして、そこを変に勘違いしてはいけないと思います。
セキュリティ専門家が警鐘を鳴らす「個人情報の“闇市場”拡大」(ZDNet Japan 15/12/11)
盗まれた個人情報がビッグデータとして蓄積され、そしてそれぞれが関連づけされマッチングされることで、個人情報がサイバー犯罪者によってより価値の高いものになっているとしたうえで、「2016年には、盗まれた個人情報やユーザー名とパスワードが売買されるビジネスとして確立された闇市場が拡大する」と予測している。ZDNet Japan非常に残念な事実ですが、テクノロジーは善人にも悪人にも等しく利するということです。やましいことをしていなくても個人情報はしっかりと保護されるべきものですし、他人の個人情報を取り扱う事業者は個人情報の保護施策について最大限の努力を求められるのは言うまでもありません。
その本人にとって「自分は何も悪いことをしていないし、情報を取られても問題ない」と感じるとしても、その流出の結果、自分が何者かになりすまされ、クレジットカード被害を受けたり、アカウント乗っ取られてローカルに保存していた勤め先の資料や友人の連絡先をごっそり持ち出されて初めて「実はヤバいことだった」と気づくことは多いわけであります。
貰い事故は仕方がないとはいえ、個人や法人のセキュリティーに関する考え方はもう少しどうにかならないのかなあと思います。ぶっちゃけ、気をつけていても引っかかることは多いわけでして。
酒の飲みすぎには注意しましょう。