IT製品 TOP > セキュリティ > PKI・認証・ID管理 >

機密情報が闇市場で売買されていた！

2009/06/09

　たった1人の不心得者の仕業で5億円超の損害が発生…つい先日、実際に起きた情報流出事件の顛末だ。2005年の個人情報保護法施行以来、企業や団体からの情報流出事件の公表が相次いでいるが、同法により個人情報の入手が困難になった闇市場では、組織内の個人の弱みにつけこんで、所属組織の情報を金銭で買い取ることを持ちかけてスパイ行為を教唆するようになってきたようだ。個人情報が金に化けることを誰もが知った今、機密情報の保護により真剣に取り組む必要がある。今回は、この大規模な情報流出事件をカギに、新しい時代の情報保護のあり方について考える。

ケースファイル編	統計データ編
機密情報が闇市場で売買されていた！掲載日：2009/06/09	情報漏洩ワースト3業種はどこ？掲載日：2009/06/23

#005

総額5億円の慰謝料発生！情シス管理職が顧客情報を売り渡し

　2009年春、A証券会社には不思議な問い合わせが相次いだ。新たに口座を開設した顧客から、「執拗な勧誘電話で迷惑している」という趣旨の問い合わせが複数寄せられたのだ。社内調査の結果、情報システム部門の部長代理の男性が「新規に口座を開設した顧客の情報を名簿業者に売った」と名乗り出た。
　男性が持ち出した顧客情報の数は、148万6651名分。顧客情報データベースから取得し、不正に外部に持ち出したものだ。このうち、4万9159名分のデータ（名前、住所、電話番号（自宅・携帯電話）、性別、生年月日、職業、年収区分、勤務先名、勤務先住所、勤務先電話番号、勤務先部署名、役職、業種）が、3つの名簿業者に売り込まれた。
　情報を入手した名簿業者は、さらにその情報を転売。実際に転売した会社は14社、サンプルを受け取った業者は15社以上、50社程度におよぶ可能性もある。流出データをもとに、不動産等の購入を持ちかける執拗な営業活動が頻発し、それが発覚につながった。
　A社は3月末に情報流出の可能性を公表、4月には情報持ち出しと流出の事実を発表した。流出の張本人は当然ながら懲戒解雇され、告訴が準備されている。一方で警察の捜査が進められており、A社は捜査に全面的に協力するとともに自ら事態の解明にあたり、抜本的な再発防止策の策定に取り組んでいる。事態の収拾状況と今後の対策についてはまだ詳細が明らかになっていないが、5月には、情報が流出した顧客に向けて、「お詫びのしるし」として1万円を支払う旨が決められた。総額では約5億円の慰謝料となる。

機密情報を流出させないためのポイントとは

　機密情報にアクセス可能な人物が自分で情報を持ちだそうとするとき、それを事前に発見して阻止することが難しいことは、上記の例でも明らかだ。次回は、そうした経路での情報漏洩を食い止める方策を紹介するが、ここでは、その他の情報漏洩が起こりがちなポイントと、その対策を紹介しよう。

2-1		メールの誤送信による情報漏洩

　ケースとして最も多いと言われるのがメールの誤送信によるものだ。メールの宛先を間違えたまま送信すると、送信内容が予期せぬ相手に届き、悪用される場合がある。また複数の宛先に宛てたメールやCcに多数のアドレスを記入したメールを誤送信した場合には、正当なメールアドレスが大量に知られてしまうことになる。
　添付ファイルなどの重要データが第三者に渡ることを防ぐには、添付ファイルの暗号化ツールが役に立つ。仮に入手されたとしても、中味が見られることを防ぐことができる。パスワード付きZIPファイルにして送信するツールは安価でよく利用されているが、必ずしも暗号強度が高くないため、PKIを用いた暗号化、S/MIMEによる暗号化などが推奨される。また、多くの場合は送信後の数秒間で間違いに気づくことが多いため、一定時間の間、送信メールをメールサーバに止め置くツールも有効だ。間違いに気づいたら、サーバから当該メールを削除することができる。他にも、情報のみを利用者が閲覧できるが、利用権を確保したうえで利用制限をコントロールできる、DRM（デジタル・ライツ・マネジメント：コンテンツ利用権管理）の導入も有効である。

« 前のページ 1 2

セキュリティ情報局にご登録頂いた方限定で｢機密情報が闇市場で売買されていた！｣の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。