【個人情報流出】2021年メルカリとOmiaiの情報漏洩事件から学ぶサイバーセキュリティの重要性

使いやすいサービス=安全とは限らない

こんにちは、まるです。

今日は、数日前に話題になった婚活マッチングアプリOmiaiの個人情報流出事件と同日にひっそりと発生したけども被害件数が圧倒的に少なくあまり話題にのぼっていないメルカリ個人情報流出事件の2つの事例から、サイバーセキュリティとITリテラシーについて皆さんにお話したいと思います。

個人情報流出は誰のせい?

まずこれ。誰の責任になると思いますか?

サービス事業者?最高技術責任者?代表取締役?サービスを利用していたユーザー??

私の回答は、「全員」です。

Twitterでは「Omiaiふざけるな」みたいな不満を出しているユーザーも多いですが、
私から言わせてもらうならば「そのリスクを踏まえて使ってるんじゃないの?」というと感じです。

利用するユーザーが多ければ多いほど、当然認知度も高まり様々な攻撃に晒されるリスクが上がります。

ユーザーにもリテラシーが求められる時代に

使っていたユーザーは悪くないだろ、そう思う方も多いかもしれません。

では逆に考えてみて下さい。この件で、被害を被ったのはどんな人達でしょうか?

Omiaiの運営元は一部上場企業なので、株価の暴落等も懸念されてはいますが、
恐らく今回の一番の被害者は、サービスの利用者、つまりユーザーではないでしょうか。

会社として機会損失は大きくも、「個人」という観点でみれば直接的なダメージは運営側にはほとんどありません。強いていうなら、偉い立場の人が頭を下げたりする程度のことです。

だからこそ、被害者としてのリスクがあることを踏まえた上で、サービスを使うことが重要なのです。

リテラシーの低いユーザーが多いサービスは狙われやすい

勿論、情報流出を防ぐことの出来なかったことそれ自体はサービス設計者のミスですが、
「最悪漏れても問題ない」範囲で、個人情報、身分証画像などはアップロードするぐらいの気持ちでいたほうが良いです。

私の周りのエンジニア界隈では、そういったアプリを使っている人はあまり見かけません。
私見ですが、トータルで見てデメリットの方が大きいからかなと思います。(もしくはやる暇がないか、必要がないか

反対に、利用していた知り合いは以前旅中で会った、ITに疎いタイプのともだちでした。

気軽にマッチング・買い物のような取引ができる、という強みもあり、
どちらかというと頭より身体を動かすのが得意なタイプの(行動力のある)人間がユーザー属性として強く、逆に身体は動かさずに頭を使う仕事ばかりしている(警戒心などが働きやすい)人は体感として利用者が少ない傾向がしています。(あくまで私個人の周りの話ですが)

つまり、ITに疎い人達の貴重な個人情報などが大量に蓄積されているサービスは、クラッカー(悪いハッカーのこと)からしたら狙い目になってしまうわけです。
だって盗んだ情報の持ち主がガバいほうが、バレずに悪用出来ちゃうんでしょうから。(サイバーセキュリティに限らず、相手の立場に立って物事を捉えるのが大切です)

便利と危険は紙一重

さて、今回、Omiaiが外部から不正アクセスを受け流出した年齢確認審査書類の画像は171万1756件
これが割と膨大な数で、運転免許証やパスポートなども流出しており現住所や顔写真が割られています。

以前書いた記事でTrelloもパスポートなどの個人情報を流出させたと紹介しましたが、個人を一意に特定できてしまう材料となる為、今回も完全な「個人情報」流出事件と言えるでしょう。

マイナンバーはその応用性故に危険

中には1件、マイナンバーカードの裏面を撮影してアップロードしたユーザーもいたようです。
(本来どのサービス側でも挙げないでください、という喚起はするでしょうが、これに関しては、正直サービスを使うユーザー側のリテラシーの問題だと思っています。マイナンバーは知られただけでは悪用は難しいですが、個人を特定出来てしまう一意の番号になるなので漏洩は避けたいでしょう。

また、本人確認を伴わない、本人確認のためのマイナンバーとして扱われる場合等は個人情報の偽装に扱われるリスクは存在し得ます。もしかしたら他にも悪用のリスクは存在しているかもしれません。

便利になった分、色々な応用が効いてしまいます。

そう、便利故に危険なのです。

ITリテラシーがないことで起こるトラブル事例


最近のスマートフォンユーザー(特に子供や、逆に高齢世代)は、特にその恩恵の部分だけを当たり前のように享受している気がして心配です。
数年前に話題になった祖母のスマホでゲームに三百万円課金していた、などはその典型例ですね。
(ちなみにその件は、幾らか返金に応じて貰えたもののうち一社は「保護者の落ち度」と主張したため、30万円程は戻ってきませんでした。ユーザー側のリテラシー不足で損した事例ですね。

上記のようなトラブルを避ける為にも、その利便性(ゲームやサービス、ショッピングにマッチングetc..)を当たり前のものとして「安全に」使いたいのなら、最低限それに足るリテラシーをユーザー側自身が身に着けておくことが大切と言えます。

何かあったときに、泣くのは自分なのですから。

危険なのは個人だけじゃない!?日々狙われている法人・企業

このように、ユーザー側のITリテラシーの欠如といった問題が最近懸念されています。

例え仕事でWebやサービスを作る側でなくとも、最低限普段使っているモノに関しての予備知識は手に入れていたほうが良いです。

この事は個人だけでなく、勿論企業にも当てはまります。

中小企業によくありがちなのが、サイバーセキュリティを軽視しているという事実です。

明確な数値としては知りませんが、今回の件で大多数のユーザーがサービスを必要以上に恐れて退会をしたでしょうし、
Omiaiサービスの運営側も信頼度という面では大打撃を受けたでしょう。

確かに、セキュリティ対策にはそれなりに費用がかかります。
しかし、今回のように事件時に起こり得る「機会損失」や「信用度の低下」を未然に防ぐことを加味したら、高い費用対効果と言えるのではないでしょうか。

病気やオレオレ詐欺と一緒で、「自分(達)は大丈夫」と思っている人がよく痛い目を見ます。

もう一度言います。

リスクは起こってからでは、遅いのです。

その辺をうまく天秤にかけられない経営者はこの高度情報通信社会において取り残されていき、今後生き残っていくことは難しいでしょう。

リスクを低く見積もってはならない

重大な過失が起きる前に、是非、今一度貴社のITリテラシーを見直してみて下さい。
「うちはアプリとかWebサービス使ってないし」という方も、このブログのような、会社のホームページ、発信媒体があってそこが作り込まれている(盗むべき有用な情報に富んでいる)のであれば、決して例外ではありません。寧ろその辺りの油断が命とりになり、痛い目をみることになるかもしれません。

「うちは社員が少なくて認知度もそこまで高くないし..」「やってる事業の規模が小さいから狙われないだろう」

その考えも、命取りです。

その心理を突いて、一流の大手企業よりかける予算の少なく情報の盗みやすい中小企業に大量に攻撃を仕掛けるクラッカーも数多くいます。

意図せぬうちに潜む脆弱性

他にも、今やほとんどのWebサービスの開発に必要不可欠な外部モジュール(自社外の商品、機能と思ってください)はよく狙われる脆弱性です。

メルカリにおいては、Bash UploaderというCodecov LLC社のスクリプトを内部で使用しており、その会社が不正攻撃を受け利用企業の一部の認証情報、キー、トークンなどが流出した可能性を公表していました。

メルカリのサービスはこのスクリプトに依存(エンジニア用語では継続的インテグレーション、CIといわれます)しており、その「一部」に該当していました。結果、第三者が認証情報を不正に取得し、GitHubに格納しているソースコードに不正アクセス出来てしまったのです。

実際に流出した個人情報一覧

今回流出した具体的な情報は以下の通りとのこと。

・売上金の顧客口座への振込みに関連した情報:17,085件
期間:2013年8月5日〜2014年1月20日
情報:銀行コード、支店コード、口座番号、口座名義人(カナ)、振込金額

・カスタマーサービス対応に関連した情報:217件
期間:2015年11月~2018年1月
情報:氏名、住所、Eメールアドレス、電話番号、お問い合わせ内容

・実施したイベントの関連情報:6件
期間:2013年5月
情報:氏名、年齢、性別、Eメールアドレス

・メルペイ加盟店情報(個人事業主名):7,925件

・メルカリ、メルペイの取引先などに関する情報:41件
情報:氏名、生年月日、所属、Eメールアドレスなど

・子会社を含む一部従業員情報:2,615件
期間:2021年4月時点
情報:氏名、会社のEメールアドレス、従業員ID、電話番号、生年月日など(過去の在籍者や一部外部委託先含む)

・ GitHub上に格納していたメルカリとメルペイのソースコードの一部(US版メルカリ、過去提供サービスを含む)

引用:マイナビニュース

個人情報のみならず、総じて打撃を受けた結果になりますね。

経営者の方であれば、これが会社としてどのくらいの損害であるかは想像にかたくないのではないでしょうか。

Omiaiの流出件数171万に比べたら3万弱とだいぶ易しめに感じるかもしれませんが、顧客の情報流出は企業としては信用度を地に堕としかねない大問題であり、新進気鋭の注目企業であったメルカリにこれは結構痛手になったんじゃないかなぁと思います。

ちなみに、先述のOmiai(サービス提供元:ネットマーケティング社)の個人情報流出は管理サーバに対する不正アクセスが原因でした。

対象となるアカウントは退会者を含む2018年1月31日~2021年4月20日のもので、流出した約6割が運転免許証だそうです。

リスクは利便性の身近に潜んでいることを忘れずに

このように、スマートフォンやPCを昼夜問わず当たり前に使うようになったこの時代において、サイバーセキュリティ、ITリテラシーといった言葉は大変身近なものになっています

サービス提供者や事業者としてのリスク認識は勿論のこと、
サービスを使う側にも「自己防衛」としての知識が求められる時代になっているのです。

Ο χρήστης 自己防衛おじさん//占い師の鉄平。//異臭を感じた男性 στο Twitter: "これ見て元気だして☆… "
©自己防衛おじさん

当然、サービスを提供する事業者側の工夫次第で、そのような”IT弱者”の方を守るようなサービス設定・仕組みを組み込んでいくことも可能です。

私の知る例をあげれば、「本人確認書類」の提出時にマイナンバーカードの場合、番号は隠してくださいと案内してくれるサービスがあったりします。わからない人からすると、こういった案内があったらうれしいですよね。

顧客側への配慮をこちらから歩み寄って案内してあげることで、企業への信頼・安心感はより強固なものに繋がっていきます。

必要とされるサービスを提供することは勿論ですが、
より大切なのは顧客やパートナーとの信頼関係を築くことです。

相手に、必要とされる以上のものを与えてあげることで、
より良い関係を結んでいけるようになりましょう。

まにゅまるスクリプトでは、中小企業へに対するサイバーセキュリティの無料相談を行っています

・エンジニアにHPを作ってもらったがそのままにしている・・・

・話を聞いていて自社の脆弱性を確認してもらいたくなった・・・

などなど、ご相談ございましたら下記メールアドレスもしくはFacebookよりご連絡ください。

3営業日以内にご返信させていただきます。

Mail: malmal0v0@manumalscript.com(アットマーク全角に直してください)

それでは、ここまでお読みいただきありがとうございました。

まる。

━━━━━━━━━━━━━━━━━
■未経験OK!大学生インターン募集中!
プログラミングやITなど
興味ある方ご連絡ください‎。
(๑ > ﻌ <`)و✧
━━━━━━━━━━━━━━━━━
Python歴5年のフルスタックエンジニア&ヨギー。
大学は心理学専攻、趣味はヘルスケア全般。
最近は自作脳波デバイスの設計とそれを使ったインタラクティブアート生成に勤しみ中。

↓アートとか日常。
Instagram:@malmal0v0

お仕事のご依頼はDM又はメールにて。

まる。をフォローする


タイトルとURLをコピーしました