2018年11月は、わずか1カ月で10億人の個人情報が漏えい
2018年11月は、個人情報保護の観点からは「最悪」と呼べる月になりました。各社合わせて10億件の個人情報が流出し、流出した個人情報が悪意のある人の手に渡り「売買される」危険が生じています。
では、2018年11月に何があったのか、私たちにできることは何か、見ていきましょう。
マリオット5億人、Quota1億件、キャセイパシフィック航空940万件...
アメリカ3大TVネットワーク、ABC傘下のWAAY(アラバマ州)は、2018年11月に起こった大規模な情報漏えいについてまとめて伝えています。具体的には以下の企業が情報漏えいを行っています。国際的に有名な企業をピックアップすると以下の通りです。
- マリオットホテル: 5億件
- Quota(質問サイト): 1億件
- キャセイパシフィック航空: 940万件
他、アメリカ国内に限定されたサービスを合計すると、個人情報の流出は10億件にも上ります。そして、漏えいした個人情報の「質」もまた問題になっています。マリオットホテルは2019年1月に、漏えいした個人情報の中に「暗号化されていない500万人分のパスポート情報」が含まれていることを明らかにしています。
マリオットホテル、キャセイパシフィック航空はともに、日本人利用者も多い歴史あるホテル・航空サービスです。Quotaは2017年に日本語版がリリースされて以後、日本人の利用者が急増しているオンラインサービスです。日本人の情報もほぼ間違いなく流出していると考えてよいでしょう。対岸の火事ではなく、多くの日本人に直結する情報漏えい事件です。
データ漏えいの一次的な責任は各企業
情報セキュリティに関する事件が起こると、「ユーザーはこのようにすれば情報流出が防げた」という論評がなされることがあります。しかし、今回の場合はあくまでユーザーが送信した個人情報を管理する、マリオットホテルなどの企業側の情報管理に責任があります。
企業が管理しているデータベースに対する不正侵入を検知する仕組みであったり、データを容易に持ち出せないようにする仕組みなどを導入していれば、今回の個人情報漏えいは回避できたかもしれません。しかし、企業側の対策をすり抜けてハッカーは情報を盗み去ってしまいました。つまり、ユーザーがいかに情報セキュリティに気を配っていても、各企業の取り組みが十分ではなかった、または一見十分な取り組みをしていたが、その想定を上回る攻撃を受けたため、情報流出は防げませんでした。
ユーザーができたことは「パスワードを使い回さないこと」
では、「情報漏えいは全て企業側の責任。自分が日頃からできることはない。何をやっても無駄だ」というと、そうではありません。万が一情報漏えいが発生した場合でも、その被害を最小限にする方法は「パスワードを使い回さないこと」です。
もし、あなたが各種クラウドサービスで利用しているID(多くはメールアドレス)とパスワード情報が一緒に漏えいした場合、悪意のあるハッカーはこのIDとパスワードを利用して、ありとあらゆるサイトで不正アクセスを試みます。なぜなら、パスワードを使い回している人は非常に多いためです。
例えば、マリオットホテルは今回の事件でパスワードを漏えいさせています。悪意のあるハッカーは、IDとパスワードを入手したら、「ヒルトン」「シェラトン」「フォーシーズンズ」「ハイアット」といったホテルグループのサイトを順番に攻撃していくはずです。そして、さらなる「金になる」情報がないかを探し、そうした情報を元に「Amazon」「Facebook」「LinkedIn」「Google」「金融機関サイト」といったサイトにも不正アクセスを試み、「不正に金銭を得よう」と常に模索しているのです。
既に漏えいしてしまったIDとパスワードは仕方ありません。しかし、ユーザー視点で考えると、二次被害を防ぐことが大切です。そして、二次被害を防ぐ最も有効な方法は「パスワードを使い回さないこと」です。それぞれのパスワードを強固なものに設定しても、そのパスワードを複数のサイトで使い回していては、無意味です。1つのサイトで使うパスワードは決して使い回さず、別なものにすることが大切です。各サイトのIDとパスワードが別であれば、万が一漏えいしたとしても、被害は漏えいしたサイトだけにとどまります。
多数のパスワードを一元管理する「トラスト・ログイン」
しかし、別な問題もあります。「パスワードを使い回さない」と口で言うのは簡単ですが、日ごろ使っているパスワードを全て異なるものにして、自分の頭で記憶しておくことは大変難しいのもまた実情です。例えば、わずか5個のサービスの別々なパスワードであっても、多くの人にとっては、正確に記憶することは大変に難しいのです。
「パスワードを使い回さないことが大切」だが、「パスワードを覚えられない」という矛盾を解決するのが、当社のクラウドサービスのパスワード管理・シングルサインオン製品である「トラスト・ログイン」です。
トラスト・ログインは、クラウドサービスで利用するパスワードをまとめて預かるシングルサインオンサービスです。ユーザーは、トラスト・ログインにログインするためのパスワードを覚えておきさえすれば、各クラウドサービスのパスワードを1つ1つ覚えておく必要はありません。このため、各クラウドサービスに別なパスワードを設定しても、トラスト・ログインが一瞬で呼び出してくれ、ワンクリックでログインできます。
多くの人はマリオットホテルやキャセイパシフィック航空のサイトだけを利用しているわけではありません。これ以外にも、数十個、または100を超えるサービスを利用している場合も多いです。よって、日々利用しているサービスをできるだけ多くトラスト・ログインに集約し、全く別なパスワードを設定するだけで、1つのサイトで情報漏えいが発生した場合のリスクが、何十分の一、何百分の一になります。
トラスト・ログインが皆様のパスワード管理にどのように役に立つか、ぜひ資料をダウンロードしてご確認ください。