5月に、中国で日本の総人口を上回るという、のべ2億件の個人情報が販売されていることが分かり、大きなニュースとなった。しかし米IBMの担当者は、既にインターネット上で地球の総人口に匹敵する個人情報が流通し、攻撃者が個人情報をわざわざだまし取る必要のないほどの状況にあると話す。
IBM Security Trusteer 市場開発兼製品ストラテジストのShaked Vax氏は、「世界的に見て、マルウェアなどを使う攻撃は減少傾向にある。インターネットの闇市場では85億人分とも90億人分とも言われる個人情報が売買され、攻撃者は情報を購入して悪用する方が楽だ」と話す。Trusteerは、IBMが2013年に買収したセキュリティソフトウェア企業で、現在は主にインターネットバンキングなどのセキュリティ対策技術を手がける。
IBM Security Trusteer 市場開発兼製品ストラテジストのShaked Vax氏
警察庁の統計資料によれば、国内インターネットバンキングの不正送金被害は、近年減少傾向にある。長年の金融業界による注意喚起や多要素認証の導入といった対策強化が効果につながっているとされるが、Vax氏は、それらに加えて、個人情報が“使い放題”になったことによるサイバー犯罪者の変化が背景にあると指摘する。
企業や組織からの情報流出は毎日のように発生しており、インターネットには流出した膨大な個人情報やクレジットカード情報などが、データベースや名簿などの形で安価に売られる。のべ2億件の日本人の個人情報を発見した米FireEyeによれば、この規模の情報量にもかかわらず、わずか1万7300円ほどで売られていたとしている。
Vax氏は、ユーザーによるIDやパスワードの使い回しも、犯罪者に好都合な状況をもたらしていると指摘する。犯罪者は、安値で入手した有効な認証情報を使ってさまざまなサービスになりすましによる不正ログインができるようになり、不正送金やポイントの換金などを通じて、容易に金を得られるようになった。
加えて同氏は、「犯罪者がありとあらゆる個人情報を使って本人になりすまし、別のサービスで新規のアカウントを開設するようなことも簡単にできる」と話す。これによって例えば、既存の銀行口座から犯罪者が不正に新規作成した別の銀行口座へ金を移動したり、あるいは実在する人の名義でクレジットカードを新規に作成して不正使用したりできる。
また、日本で被害が認知され始めた「ビジネスメール詐欺(BEC)」も、個人情報の“使い放題”が一因にあるという。BECでは、犯罪者が経営幹部や取引先になりすまし、組織の経理担当者などをだまして送金を仕向けるが、犯罪者が相手をだますための詐欺の“ネタ”は、インターネット上に溢れる個人情報ということのようだ。
こうして現在のサイバー犯罪のターゲットは、従来のインターネットバンキングから仮想通貨やポイント、マイレージ、年金に至るまで、金銭的価値を伴うあらゆるサービスに拡大している。
