情報漏洩の概要
婚活マッチングサービス「Omiai」の情報を管理するサーバーが不正アクセスを受け、最大で171万1756件の会員情報が流出した可能性があるというニュースがありました。
マッチングアプリ「Omiai」に不正アクセス 免許証など本人確認書類の写し約171万件が流出した可能性
(引用元) IT Medie NEWS
https://www.itmedia.co.jp/news/articles/2105/21/news135.html
情報漏洩の規模で言うと比較的大規模な事例となります。
昨今の婚活アプリ、恋活アプリは非常に盛り上がりを見せており、私の身の回りでも使用する人が非常に多くなっています。(かく言う私も独身時代に利用していました。)
今回の事例については既に退会済みの人も対象になっているとのことで、どのような実害があるのか気にされている方も多いと思いますので、内容を整理し、下記についてまとめます。
- 今回の事例に対する対応
- 情報漏洩に対しての適切なスタンス
結論から言いますと、今回漏洩の恐れがある利用者の方についても、「実害」という意味ではほとんど気にする必要はないと考えています。 ※理由は後述
過去事例について
過去の情報漏洩の事例について調べたところ、規模の大きな主だった事例に下記があります。
2011年 ソニーでの事例 漏洩件数:7700万件以上
ハッカー集団のサイバー攻撃により、情報漏えいによる被害は2兆円以上。イメージダウンを恐れたソニーは被害の情報公開を遅らせたことも発覚し、批判を集める結果に。
2014年 ベネッセコーポレーションの事例 漏洩件数:2000万件以上
同社のグループ企業にシステムエンジニアとして務める派遣社員により、職務上、付与されていた権限を悪用して顧客情報を盗まれた事例。同社は対象顧客に200億円規模の補償を検討。
2020年 任天堂の事例 漏洩件数:約30万件
任天堂株式会社が提供するサービスの「ニンテンドーネットワークID(NNID)」のユーザーアカウント約30万件が不正ログインされ、個人情報が第三者に閲覧された。
(記事引用元)Webセキュリティ情報メディア CyberSecurityTIMES
https://www.shadan-kun.com/blog/measure/2763/
この他にも、漏洩件数数万件以下の事例については報道されているだけでも数十件確認され、現代において情報漏洩が非常に身近に起こっていることが分かります。
表面化していない事例について
先ほどは過去事例を見ましたが、これらはあくまで報道等により表面化した事例です。
この他に、報道等で表面化していない事例として下記が加わります。
- 企業側が損失を恐れて隠ぺいしている事例
➤公表すると企業は信用を失い、倒産に至るリスクがあります。 - 企業側がそもそも情報漏洩に気付いていない事例
➤中小企業や個人店舗などのセキュリティー対策が不十分な企業では充分あり得ます。 - 企業主導で個人情報を収集活用している事例
➤LINEやHuaweiなどが個人情報を抜いているという噂はよく聞きますね。アメリカは国レベルで中国企業経由の中国への情報漏洩を警戒しています。 - 財布やカードケースの紛失
➤企業とは関係のない事例ですが、立派な情報漏洩であり、最も身近かもしれません。
さて、あなたは個人情報の提出を今まで何度行ったか、記憶しているでしょうか。アパレルショップやネットショッピングの会員登録、ネットサービスの利用登録、公共施設の利用登録、NHK等の利用登録、公的機関の情報登録etc. 数え切れないのではないでしょうか。これら全ての提供先において(例え行政の管理であっても)、上記1~4のような情報漏洩がないとは言えないと思います。
今回のOmiaiの事例は氷山の一角と考えるのが妥当であり、個人情報はどこかしらで元々既に流出している可能性が高いと考えます。そして、一旦流出した個人情報は裏社会で取引、拡散されることを考えると、今まで個人情報を完璧に守れている人は、会員登録はもちろん、区役所への公的手続きすらやったことがない人であり、実質、情報漏洩は現代に生きる上で避けられないリスクであると言えます。
Omiaiの事例のリスクについて
さて、話は本件に戻りますが、今回の情報漏洩で具体的にどのようなリスクがあるのでしょうか。
まず、今回情報漏洩したのは下記情報です。
年齢確認書類として提出した運転免許証、健康保険証、パスポートの画像データ
※クレジットカード情報は漏えいしていない、例外としてマイナンバーカード画像も1件
上記の通り、漏洩したのは本人確認書類の画像データであり、クレジットカード情報は管理サーバーが異なるために漏洩していないようです。本人確認書類の画像データで出来ることは下記です。
- 銀行口座の開設
- クレジットカードの発行
- 携帯電話回線の契約
残念ながら上記に不正利用される可能性があるのは事実のようですが、先述の通り、本件以前に元々情報漏洩している可能性が高いと考えると、ここで慌てて対応する必要はないと考えます。
また、今回は暗証番号を含めたクレジットカード情報は漏洩していないので、口座や回線を作られても、そこに自分のお金が入金または支払われる可能性はありません。よって、
「名義を不正に使用されるリスクはあるが、金銭的な実害はない」※注ということになります。
※注 クレジットカード情報が盗用された場合の被害額は、チャージバックという手続きを経て、多くの場合EC事業者が負担することになるので、クレジットカード情報が漏洩したとしても金銭的な実害が生じる事例は少ないようです。今回は該当しませんが、クレジットカード情報が漏洩した場合は速やかにカードの利用を停止し、再発行をお勧めします。
また、本件だけでも171万件の情報漏洩であり、その中の1件としてあなたの情報が悪用される可能性は確率的に非常に低いと言えます。万が一不正に作られた口座が犯罪に利用されることがあった場合でも、情報漏洩があったことは本件の報道で明らかですので、不正な口座作成であることを立証しやすく、犯罪に加担したとして責任を問われる可能性は限りなく低そうです。それでも心配な場合は、下記対策をしておけば、詐欺被害等に加担したか疑われた場合に効果を発揮する可能性があります。
・免許証を再交付する
・CICなどの信用情報機関に悪用される恐れがある事を事前に申告しておく
ただし、何度も言うように情報漏洩は身近な出来事であり、情報漏洩の度にこのような対応を取っているとキリがありません。リスクに対する手間を考えると必要以上の対応だと考えます。
心配する必要はあるのか?
ここまで整理し、一件一件の流出事例を心配してもしょうがない。というのが私の意見です。
ちなみに、情報系の仕事をしている友人複数人にも意見を伺いましたが、私と同じ意見でした。
では、全く気にしなくて良いのか?というとそうではありません。
分かりやすく極論になりますが、情報漏洩に人生で一度だけ遭った人と、毎年情報漏洩しているような人では、漏洩した情報の正確さ(住所や電話番号は古いと間違っている可能性があります)、情報を手に入れて悪用する組織の数も全く違ってくるでしょう。これは当たり前かもしれませんが、情報漏洩の件数は少ないに越したことはないのです。
とはいえ、好きなお店の会員登録などを含め、サービスを受けるにあたって個人情報の提供がどうしても必要なことはあるはずです。その際は、情報提供する以上、情報漏洩を完全に排除することは出来ないと認識し、上手く付き合うことが必要です。(なんだかwithコロナの考え方と似ていますね。)
まとめ ~今回の対応と適切なスタンスについて~
以上、Omiaiの情報漏洩事例について記載しました。内容をまとめると下記の通りです。
※あくまで個人的な見解としてご理解ください。
今回の対応
- 171万件流出と大規模であり、自分の情報がピンポイントで悪用される確率は低い
- 悪用されたとしても犯罪に加担したと判断される可能性はさらに限りなく低い
⇒「実害」という意味ではほとんど気にする必要はない
情報漏洩に対しての適切なスタンス
- 現代に生きる私たちにとって情報漏洩は避けられないことを認識する
- 個人情報の提供は信頼かつ、リスクを許容出来る相手先のみとする
- 情報漏洩した場合は相手先に適切な対応や補償を求める
- 情報漏洩の内容に応じて暗証番号を変更するなどの対応を行う
⇒慌てず、悲観せず、流出した内容とリスクを把握し、適切な対応を取ることが重要です。
以上となります。
拙い文章ではありますが、ご拝読いただきありがとうございました。
今回該当された方の不安が本稿で少しでも解消されることを願っております。
コメント