2015年1月に米国大手の医療保険会社から8,000万件余りの個人情報の漏出が起こった。また国内でも2015年5月に日本年金機構から125万件の個人情報が盗み出された。日米にまたがって保険・医療関連の個人情報が狙われたのはなぜか。どういう意図を持って個人情報を盗むのか、あらためて考えてみる。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。
・Electronic health records and data abuse: it's about more than medical info
・CareFirst data breach leaves 1.1m health insurance customers vulnerable
8,000万件の個人情報の漏出
2013年から2014年にかけて、米国の主力銀行や小売チェーン、映画配給会社など、数多くの企業から個人情報が漏出した。だが、その時点ではまだ保険・医療関連機関の被害は目立っていなかった。にもかかわらず連邦捜査局(FBI)は8月に保険・医療業界も狙われる恐れが十分にあるとして注意を促した。そして2015年1月、米国大手の医療保険会社のデータベースが何者かによって不正アクセスされた(公表は2015年2月)。後にこの攻撃は、2014年4月ごろから開始されていたことが判明する。実は保険・医療業界は、FBIが警告する前からすでに攻撃を受けていたのである。
被害を受けた企業は、データの暗号化などの適切な顧客情報保護を実施していなかったという落ち度はあったものの、基本的には最先端のセキュリティ対策を行い、万全を期していた。にもかかわらず最大で8,000万件に上る、保険・医療業界へのサイバー攻撃としては史上最大規模の被害が起こった。従業員と過去および現在の保険加入者の現在(と過去)の氏名、生年月日、社会保険番号、住所、メールアドレス、収入記録などを含む雇用情報が盗まれた。
盗み出したデータは何に使われるのか
個人情報を盗み出す場合、多くは金銭目的である。したがって、個々のクレジットカードのパスワードやメールアドレスが最も狙われる。今回の場合、この膨大な量のメールアドレスだけでも闇市場では高額で取引される可能性がある(が2015年6月現在ではまだその気配はない)ものの、クレジットカード番号や保険金申請内容などの医療記録は流出しておらず、直接的な実害や深刻なプライバシー暴露のようなことは直ちには起こらないかもしれない。また、一部の報道では、攻撃対象や規模から見て個人的な利益を目的としたものではなく、もっと大掛かりな組織による攻撃なのではないか、とFBIが疑っているようなのである。
この後も米国では2015年6月には政府職員の個人情報400万件が盗まれているように、どうやら攻撃がやむ気配がない。しかも、このことは対岸の火事ではなくなっている。
日本年金機構事件
国内でも2015年5月に日本年金機構の個人情報漏出事件が起こった。この事件は基幹システムにあるデータベースを直接攻撃したものではなかったため、漏出した数は米国の被害と比べると約10パーセントにとどまっている。とはいえ、マイナンバー制度をこれから導入しようという矢先であることも相まって、極めて深刻な被害であることは間違いない。
もちろん、特定の業種だけが危ないというわけではないが、今後もこうした保険・医療機関が狙われる可能性は極めて高いであろう。なぜなら、他の業種から個人情報を盗み出すよりも、保険・医療機関にある個人情報はデータに誤りや偽りが極めて少ないからである。
つまり、ネット犯罪者にとって保険・医療機関が保有する個人情報は、極めて有益で魅力的に映っているのである。
もし、直ちに悪用されないとしても、多くの人々の正確な情報を持っているデータベースの流出は、国家の根幹を揺るがしかねないほど深刻なものである。
この問題は日本年金機構や大手生保会社だけに関わるものではない。保険・医療業界全体が狙われていると想定して、今後、よりセキュリティを強化する必要があるのではないだろうか。
なぜならば、保険・医療機関の個人情報には、幾つかの大事な情報が複合的に含まれているため、漏出してしまうと組織が困るだけでなく個々人に大変な被害をもたらすからである。
なぜ保険・医療機関の個人情報なのか
保険・医療機関の個人情報は、大きく分けると、1)基礎情報、2)私的情報、3)財務情報、4)医療情報、といった四つの階層がある。それぞれどういった項目があるのか、そしてどういった脅威があるのかをまとめておく。
1)基礎情報
ごく基本的な個人情報であり、氏名、住所、電話番号、メールアドレスなどが含まれる。
これらを基に、スパムメールが送り付けられたり、データマイニングやプロファイリング、ストーキングなどに悪用される。
2)私的情報
公的にはID情報としては使われない個人情報として、誕生日、医療記録番号、社会保険番号、免許証番号などが含まれる。
マイナンバーもここに分類される。
直接これらは悪用されにくいが、ブログやSNSその他のIDやパスワードとの照会に際して悪用される恐れがある。
3)財務情報
保険料や医療費の支払いに関する内容や、支払いに使用されたカードや通帳の情報が含まれる。
架空請求詐欺や窃盗など、金銭的被害が発生する恐れがある。
4)医療情報
血液型や身長、体重その他の身体に関わるデータや健康状況、アレルギー、既往歴、カルテ内容などがここに含まれる。
振り込め詐欺、脅迫、薬物取引、窃盗、詐欺その他の被害が発生する恐れがある。
今後ネット犯罪者たちがどういったところをどのように狙うのか、こればかりははっきりと断定できるものではない。しかし、どういったところが狙われると私たちがとても困るのか、これははっきりしている。やはり規模を問わず、保険・医療関連機関が標的にされると、最も被害が大きくなる可能性がある。
繰り返すが、保険・医療関係の個人情報は実際に活用されている正確なものの場合が多く、それ自体に高値が付く。闇市場で売ることによってかなりの利益が得られる。
情報漏出を起こさないための予防対策ばかりに気を取られずに、実際に感染や攻撃を受けたときにどういった対応をするべきなのか、今回の事件を教訓にして自分たちの組織に合った形で、一通りの流れをマニュアル化しておくことをお勧めしたい。
