個人情報を個人はどう守ればいいのか?(ノートン™ ダークウェブ モニタリングの紹介)
情報漏えい・窃取事件について攻撃者側の視点で、どんな情報がどんな手法で盗まれているのか、盗まれた情報はどう処理されているのかを考えるこの連載。最後となる3回目は、アカウント情報やカード情報といった個人情報をどう守ればいいのか、について考えます。
個人情報は、個人情報保護法により保有する企業に保護対策が義務付けられています。そのためのさまざまなソリューションも存在しています。しかし、個人が自分の情報をどう守るか? この点については、公開範囲を制限する、不審なサイトにアクセスしない、といった一般論的な話に終始しがちです。個人情報を狙うフィッシングメールは、偽サイトへのリンクがあるだけで、一般にマルウェアの添付がありません。そのため、アンチウイルスソフトをすり抜けてしまいます。不審なサイトにアクセスしないといっても、これらのメールの巧妙化が進み、文面だけで偽装を見抜くのは困難です。
注意していても騙されるのが詐欺であり、フィッシングだからです。そしてサーバーやデータベースへの不正アクセスは消費者側にできる対策はありません。別の対策が必要なのですが、ここでは、新しい対策アプローチを紹介します。
内部保護から外部調査へ
セキュリティ業界でもAIや機械学習の応用が盛んです。古くはスパムメールフィルタやウイルス検知にもAI技術が使われていましたが、近年は膨大な通信ログ解析やトラフィックのオンタイム監視への応用が進んでいます。
そのひとつに「脅威インテリジェンス」という対策アプローチがあります。これは、業界情報やニュース、NISCやJPCERT/CCからの情報発信、業界ISACなどの情報共有フレームワークを利用したサーフェスウェブでの情報収集、加えて専門家がダークウェブを監視、検索、調査することで、自社が気づいていない攻撃情報、漏れているデータを探し出して、対策や対応に役立てるというものです。
たとえば、同業者がサイバー攻撃を受けたという情報・ニュースがあれば自分のところも同じ被害が起きていないかを確認します。ハッカーコミュニティやアップロードサイトに自社の機密データが出回っていないか検索したり、ダークウェブのチャットルームで自社が標的にされていることはないかを調べたりします。この調査は、訓練された専門家・研究者が人力で行うこともありますが、クローラーやボットが自動的に行い、AIによって脅威につながる情報を検知させます。
脅威インテリジェンスは、サーバーやPCなど、組織内の保護だけでなく、外部の情報を積極的に使う諜報活動を行うことで、予防的な対策を強化するものといえます。
個人でも利用できる脅威インテリジェンス
インテリジェンスやダークウェブの調査は、セキュリティベンダーが提供するものは安くても数百万円、高度なものは数千万円とかかります。脅威インテリジェンスは個人ユーザー向けのソリューションではありません。しかし、個人・一般消費者向けにそのようなサービスが存在します。
メールアドレスをダークウェブで検索するだけなら、そのためのサイトがすでに運営されています。セキュリティベンダーが提供する同様なサービスもあります。前者の検索サイトは漏れているかどうか自分から調べない限りわかりません。後者のベンダーサービスは、メールアドレスやカード番号などを登録しておけば、常時監視を行いダークウェブ等でヒットしたときに教えてくれます。
個人でも、自分の名前やIDでエゴサーチをする人はいると思います。エゴサーチは、もっとも手軽な個人の脅威インテリジェンスの一種ともいえます。しかし、これはサーフェスウェブだけの検索です。ダークウェブでのエゴサーチは、専門家でない場合、情報にたどり着けない、リスクを背負うといった難しさ(第1回記事参照)があります。使ってみると、自分のメールアドレスやログインアカウントがダークウェブで発見される(普通に流通している)事実を目の当たりにして、考えが変わるかもしれません。
例えばノートンが提供している「ノートン ダークウェブ モニタリング(DWM)」は、登録した自分のメールアドレスや口座番号、カード番号などを、サーフェスウェブ、ディープウェブ、ダークウェブなど、インターネット全体を調べ、ダウンロードサイト、マーケットプレイスでそれらを発見したら、本人に通知を送ってくれるクラウド型のセキュリティサービスです。
監視・検知のために登録できる情報は以下のとおりです。カッコ内の数字は、登録できる件数を意味します。
- 電子メールアドレス(5)
- 住所(5)
- クレジットカード番号(10)
- 電話番号(5)
- 銀行口座番号(10)
- 保険証券番号(5)
- 運転免許証(1)
- ゲーマータグ(10)
ゲームタグの監視も可能
使い方と対処方法
ダークウェブ モニタリングの利用を開始し、メールアドレスやカード番号などモニタリングする情報を入力すると、さっそく通知が届くかもしれません。とくに長く使っているメールアドレスは、さまざまなサービスの登録などで利用しているので、それだけ漏えいしている確率が高くなります。
第2回目の記事でも紹介したように、大手ポータルサイト、ECサイト、SNSなど主だったサービスも、過去10年ほどさかのぼれば数万から数億件もの大規模な情報漏えい事件に遭っています。メジャーなサービスで長期間使っているものほどデータが漏れていると思ってもよいくらいです。
通知画面
では、ダークウェブモニタリングから通知が来た場合、どのようにすればいいのでしょうか。漏えいやその可能性について通知が来たとします。データ漏えいにはなんらかの対処が必要ですが、ネットに出回った情報は簡単には削除できません。すべきことは、漏れた情報が何なのかを把握して、それが利用されても被害を最小限または出ないようにするための措置です。
対処方法画面
具体的には、IDが漏れたなら対応するパスワードを変更する。当該サービス事業者に必要な処理を確認する。使っていないサービスならば削除・脱退などアカウントを無効にしてしまっていいでしょう。二要素認証を設定しているサービスならば、IDとパスワードだけではログインできないので、漏えいしても悪用される可能性が下がりますが、検知されたアカウントは、最低限パスワードを変更してください。パスワードは定期的に変更するより、漏れたり攻撃を受けたりしたら変更するようにします。
このとき、もっとも注意しなければならないのは、パスワードやアカウントを使いまわしている他のサービスのチェックを怠らないことです。メールアドレスをIDにしているサービスはとくに注意です。そのようなサービスでは、同じパスワードを使ってはダメなのですが、もし同じパスワード、同じIDのサービスが他にもあれば、該当するサービスすべてについてパスワード変更が必要です。
パスワードの変更は面倒、使いまわさないとパスワードを憶えきれない、個別のパスワード管理ができないという人は、パスワード管理アプリやブラウザの「安全なパスワードw自動生成する」という機能を利用してください。
クレジットカード番号が検知された場合は、カード会社に連絡をして利用明細を確認したり、再発行でセキュリティコード(CCV)を変更したり、対応を相談します。銀行口座の検知もほぼ同様な対処となります。銀行に連絡をして暗証番号の変更などを相談してください。
プロフィール
中尾真二(ITジャーナリスト)
アスキー(現KADOKAWA)で技術書編集、オライリー・ジャパン編集長を経て独立。
現在はWebメディアを中心に取材・執筆活動を展開。インターネットは、商用解放される前の学術ネットワークの時代から使っている。エレクトロニクス、コンピュータのバックグラウンドを活かし、セキュリティ、オートモーティブ(CASE/MaaS)、教育関係の記事・コラムを扱う。関連分野では、企業研修やセミナー講師としても活動中。
