セキュリティ企業のファイア・アイは5月17日、中国でのべ2億件以上の日本人の個人情報が販売されていたと発表した。情報の中には同社の顧客企業から流出したデータが含まれていたことも確認したという。
ファイア・アイによると、販売されていた情報は2017年12月初旬に、インターネット上に掲載された広告で発見したものだという。同社傘下のセキュリティ調査会社iSIGHTが分析を行った結果、日本のウェブサイトや企業などから流出したデータである可能性が高いことが分かり、日本法人を通じて国内の顧客企業に照会したところ、過去のインシデントで流出した顧客情報の存在が認められたとしている。
ファイア・アイが入手した中国で売られていた日本人の個人情報の一部
のべ2億件以上の情報は個人や企業の従業員などのIDやパスワード、氏名、ニックネーム、住所、生年月日、年齢、携帯電話番号など多岐にわたるという。ただし流出元は、小売や食品、飲料、金融、エンターテインメント、交通などさまざまな業種の11~50件のウェブサイトだと見られ、重複するデータが多数あることから、同社では人数規模が2億件を大きく下回ると見ている。
調査から販売者は、中国・浙江省に在住すると見られる人物で、協力者を含めて2人以上の関与が疑われるという。販売者は、少なくとも2013年9月から中国のアンダーグラウンドサイト上でこうした個人情報データベースの販売を広告していたといい、今回見つかったデータベースは複数のファイルで構成され、総量では5Gバイトを超える。ファイルの日付は2013年5月や2016年6月など、まちまちだった。日本以外に、中国や台湾、香港、オーストラリア、ニュージーランド、欧米のウェブサイトから流出した個人情報も販売も手がけていたとされる。
また、ネット上での販売価格は1000元(約1万7300円)と、こうした情報の不正販売としては“異常な格安ぶり”だったという。広告に対するネガティブな評価も散見されるとし、この販売者が購入希望者にデータを提供しなかったケースも想定されるとしている。
記者会見した執行役副社長の岩間優仁氏によると、調査ではiSIGHTの担当者が販売者らや関連すると見られるインターネット上のコミュニティーサイトに潜入し、データの収集方法や販売方法、データの信頼性確認といった点を注意深く実施したという。
サンプルデータの解析では、無作為に抽出した20万件のメールアドレスの大半が、過去の情報漏えい事件で流出したものだったことが判明。また、サンプルとして抽出した19万件以上の認証情報の36%が重複していた。販売者は、日本からインターネット上に流出した膨大な個人情報を何らかの方法で収集、リスト化して、インターネットを通じて希望者に格安で提供していた可能性があるとしている。
調査結果について岩間氏は、「よくIDやパスワードの使い回しが指摘されるが、改めてその状況が確認された。過去に流出した情報はこうした形で収集、リスト化されてネット上で売られ、購入者が新たな攻撃や犯罪に使う。今回の事態はIDやパスワードの使い回しがいかに危険であるかを物語るものであり、そうした行為を絶対に止めてほしいと呼び掛けるために発表した」と述べた。
解析に際して同社は、金銭を支払ってこのデータベースを入手したという。入手金額などは公表していない。これが販売者の不正な利益につながるとの見方もなされたが、記者会見に同席した米FireEye エグゼクティブバイスプレジデント兼最高技術責任者のGrady Summers氏は、実態の解明の必要性と、事実の公表によるセキュリティの啓発という公益性を鑑みて、こうした対応を行ったとの見解を説明した。