見出し画像

情報漏洩を恐れるのは日本人だけ? 【アメリカと日本の情報セキュリティの現状を比較・その1 】

藤本 真也

本稿ではシリコンバレー在住25年の筆者が、サイバー犯罪先進国のアメリカと日本の情報セキュリティーの現状を一般市民の観点から比較する。

まえがき

2022年5月に山口県で起きた4630万円誤送金事件の報道で、地銀が未だにフロッピーを使って振込データのやり取りをしていることが取り上げられたが、このことに象徴されるように日本の情報セキュリティーに対する意識の低さは技術先進国とはお世辞にも言えないレベルと言わざるを得ない。

情報化社会の発展で個人情報が集積化され瞬時に地球の裏側まで届く時代に、サイバーセキュリティー大臣はパソコンを使ったことないとメディアに言い切り世界中から失笑を浴びているニッポン。

今後も確実に増え続ける情報を使った様々な犯罪を防ぐためには、政治家だけでなく国民一人一人の情報管理に関する知識レベルの底上げが必要だと感じる。

日本の地銀は未だにフロッピーディスクを使って取引情報を交換していることに衝撃を受けた

情報セキュリティとは?

まず日常の生活に於いて情報セキュリティーという単語を聞いて一番初めに思いつくこととは何だろうか?日本ではパスワードの漏洩やオレオレ詐欺が真っ先に思い浮かぶと想像するが、アメリカでは大抵の人がIdentity Theft(ID Theft)を連想する。

Identity Theftを直訳すると個人情報の窃盗となるが、これ自体は犯罪ではあるものの金銭的な被害などは犯罪が行われた時点ではまだ発生していない。盗まれた情報がその後ダークウェブなどの闇社会で売買され、クレジットカードの不正利用などの金銭被害が起きた時点で初めてID Theftの被害に遭ったことに気付くこともある。

アメリカでではIdentity Theftが横行している

日米におけるオレオレ詐欺の比較

では盗まれた個人情報が使われる日本人にとって最も馴染みのあるオレオレ詐欺について日米で比較してみる。

日本ではオレオレ詐欺の被害者の多くはお年寄りで、孫や銀行員などのフリをして言葉巧みに騙そうとするが、警戒心の強い若者には比較的見破られやすい。しかし近年では事前に調べた家族構成や趣味趣向などの個人情報を基にストーリーを構成するなどその手口は巧妙化されている。

もちろんアメリカでも同じような詐欺はあり、確定申告の時期が近付く春先には毎週のようにIRS(国税庁)を装った自動音声の電話がにかかってくる。この場合コンピューターを使ってランダムに電話をかけまくっていることがほとんどだが、中には個人情報を使ったピンポイントの詐欺というのも出始めている。

アメリカでは確定申告の時期にコンピューターを使った電話による詐欺が頻繁に発生する

例えばクレジットカードの利用履歴が漏れて詐欺師に利用された場合、不正利用のメールに以前購入したお店の名前や額が記入されていると、本当のメールと思い込んでしまう人は多いのではないか?あるいは以前利用したことのあるオンラインショップからクーポンが送られてきたとしたら、リンク先を確認せずにクリックしてしまうこともあるのではないか?

一つのリンクをクリックする意味

単にクリックすることによってお金を失われないと思いがちだが、そのリンクには受信者のメールアドレスを特定できるキーが仕込まれており、クリックすることによってそのメールアドレスが実在して読まれていることを相手に知らせており、さらにはメールの内容(この場合特定の商品のクーポン)に興味があるということまで伝わっている。

つまり一つのクリックによってメールアドレスの価値や興味の分類がされ、次回からより細分化されたスパムや詐欺のターゲットにされる可能性さえあるため、リンクをクリックする前にメールの送信元を確認するなど十分気をつけなければならない。

リンクをクリックするだけで個人情報が仕分けされる

情報漏洩は防げるものなのか?

このように個人情報漏洩というのは漏洩時ではなく、その後の犯罪に利用される可能性にさらされることになる。ではどうすれば防ぐことができるのか?

個人レベルでできるセキュリティ対策

そこでまずは個人レベルでできる最低限のことを以下に改めて列挙する。

  • パスワードは12文字以上で記号や数字、大文字と小文字を入れ混ぜる

  • パスワードの使い回しをしない

  • 携帯電話、メール、アプリを使った2段階認証をオンにする

  • メールで送られてきたリンクをクリックする前に、送信者のメールアドレスのドメインを確認する(表示されている名前は誰でも改ざんできるため)

  • 送られてきたメールが暗号化されていることを確認する

パスワードの使い回しなどは、分かっていても複数のパスワードを覚えるのは大変なため実践されていない人がほとんどかと想像するが、LastPassなどのアプリやせめてブラウザーの提供しているパスワード作成・管理ツールなどを利用して徹底してもらいたい。

クリック2段階認証の設定など個人でできる最低限の自衛は常に心掛ける

ただこれらの基本的な自衛の方法を実践していくら個人で気を付けていたとしても、サービス利用側の情報漏洩に関してはユーザーはどうしようも出来ないというのが現状である。

企業からの情報流出

例えば2014年に発覚したベネッセ個人情報流出事件。氏名、住所、電話番号、生年月日など進研ゼミなどの顧客情報2700万件が流出した事件だが、これは社内のデータベースから顧客情報がグループ企業の派遣社員が抜き取って名簿業者に売却したことが原因だ。

この事件は補償が金券500円で合ったことなどもあり当時日本のメディアで大きく取り上げられ、取締役の辞任や顧客離れが進み会社は赤字に陥るなど、経営に重大な打撃を受けている。

一方アメリカではどうか。ITバブル崩壊前後の20年ぐらい前であればニュースとしてまだ取り上げられていたが、近年ではあまりに頻繁に起こるため報道もされることも稀になった。

実際企業から情報漏洩があった旨の連絡が年に数回は届いているが、筆者はもうそのような通知を受けても(同じ情報は過去何度も流出しているため)どうでもよくなっている。

情報漏洩は本当に怖いことなのか?

日本人の感覚として、情報漏洩は何か怖いことのように思うかもしれないが、先述の通り情報漏洩自体にはまだ金銭的な被害が起きているという訳ではない、ということもアメリカで生活していると冷静に考えるようになる。

大事なのはどのように個人情報が使われる可能性があるか認識し、自分の個人情報が既にダークウェブに挙げられているあるという前提で、日頃から詐欺に合わないように注意することである。もちろんアメリカ人も騙される人は騙されるし、巧妙になってくる詐欺には見極めることが難しくなっているが(特にスマホのショートメールを使った詐欺は差出人が元々分からないので引っ掛かりやすい)、相対的に比べると日本と比べるとセキュリティや詐欺に対する意識は高いと言える。

クレジットカードの不正利用

クレジットカード社会のアメリカでは、仮に騙されたとしてもその手段がクレジットカードの不正利用などであれば、カード会社もすぐに対応してくれ返金もされるのであまり大事に至らない。

筆者自身もここ20年の間にクレジットカードの不正利用は10回以上経験しているが、さすがにもう対応の仕方も分かるし普段から明細を隈なくチェックする癖がついているので全く厭わない。強いて言えば自動引き落としの登録をしているサービスにカード変更の手続きをするのが煩わしいだけだが、最近ではCXには定評があるAMEXだと新しく送られてきたカードに印字されている番号は違うにも関わらず、自動引き落とし先には番号を変更しなくても良いシステムに改修されている。

日本でも原則としてフィッシング詐欺などによるクレジットカードの不正利用に対する支払い義務は免除されるが、その事実がまだまだ周知されていないため不安を感じている人も多い。

情報漏洩に対する注意喚起を行い不安を煽るだけでなく、万一不正に合った場合の対処方法を広く周知することで消費者の不安を解消し、被害に遭ったときの煩わしさも軽減するという姿勢は、日本のクレジットカード会社も参考にするべきだと考える。

コンピューター乗っ取り詐欺の仕組み

もう一つアメリカで行われている詐欺の例を挙げると、「マイクロソフト」から自動音声の電話がかかってきてコンピューターにウィルスが感染していると言われたこともあった。筆者はその詐欺師が何をしようとしているのか興味があったため、あえて自動音声に言われるがまま番号を押してオペレーターに繋いでもらい分析してみることにした。

「マイクロソフト」のインド訛りのオペレーターは、パソコン音痴を装った筆者に何度も右クリックの仕方を丁寧に教えながら、30分程かけてなんとかWindowsのプロセスモニターを表示させるように仕向けた。そこである箇所を見て!マークがないかどうか確認しろと言われたので、あると伝えるとそれがウィルスに感染している痕跡だと。そこから指定したウェブサイトに飛ぶと、画面共有ソフトをインストールするように言われたので、その時点でネタバラシ。「お前のIPアドレスはFBIに通報する」と伝えると、それまでの冷静沈着オペレーターから激怒しだしたので通話終了。

パソコンの保守を口実にリモートで乗っ取る詐

つまりこの詐欺の目的は、画面共有ソフトをインストールさせてコンピューターを遠隔操作できるようにした上で、恐らくキーボードの入力を記録するウィルスを仕込もうとしたのであろう。そのウィルスは銀行など特定のサイトにアクセスした際に発動し、ユーザー名とパスワードを記録し自動的に詐欺師に送るようになっているという仕組みだ。

まとめ

このようにアメリカの犯罪はお年寄りだけでなく、個人情報やITを駆使して幅広い年代をターゲットにしている。また、犯罪自体も年々高度化しており、アメリカで起きている犯罪を見ておけば将来日本で起きるであろう犯罪を予見することができるであろう。

個人情報漏洩についても、日本とアメリカではかなりの温度差があることを解説した。日本では個人情報の漏洩に対して不安を感じる人が多いが、その情報がどのように使われる可能性があり、どのような手段を使って詐欺師は騙そうとしてくるのか理解しておけば、さらなる被害を防ぐことができるのではないか?

さて、次回はアメリカで80年以上続く個人識別番号であるソーシャルセキュリティ番号と日本のマイナンバーについて、情報セキュリティーの観点から書いてみる。

この記事が気に入ったらサポートをしてみませんか?