個人情報漏洩のニュースが、後を絶ちません。
今年2019年に起きた数十万件〜数百万件級の大規模不正アクセス事例を振り返っても、たった4か月半で、これだけの個人情報漏洩事件・事故がありました。
- 5月 ユニクロ、GU
パスワードリスト型攻撃による不正アクセス - 3月 トヨタ自動車株式会社の販売子会社
不正アクセスによる顧客情報流出 - 1月 Peing 質問箱
システムの脆弱性を狙っての不正アクセス - 1月 宅ファイル便
不正アクセスで顧客情報流出
情報漏洩はサイバー攻撃によるものが多いですが、USBメモリの紛失、車上荒らしでノートPC盗難、BCCで誤ってメール送信など、人的ミスによる情報漏洩もあります。
もし、あなたの個人情報が悪意ある第三者の手に渡ったら、一体どうなるのでしょうか? 詐欺や脅迫、なりすましなどの被害が予想されます。恐ろしいですね。
実は今……。
僕は、謎の人物から「金を払え」と脅迫されています。そのきっかけが情報漏洩なのです。
今回は、そのことをお伝えします。情報漏洩の危険性を身近に感じてもらうことで、皆さんの危機意識向上につながればと願っています。
ジャパンレンタカー株式会社 WEB会員情報流出
さて、記事タイトルには「某レンタカー会員登録」と書きましたが、具体的には「ジャパンレンタカー」ですね。ここが漏洩元です。
なぜ、僕は漏洩元がわかるのか?
それは、僕はパスワードの使い回しをしないからです。同じパスワードを別のサービスで使っていないのです。わかりやすく言えば、ジャパンレンタカー、楽天、Yahoo!、Twitter、Facebookなど、すべて違うパスワードを設定しています。
僕は今、「お前のメールアドレスとパスワードはこれだろ! PCをハッキングしたから金を支払え」と脅迫を受けているのですが、そこに書かれているメールアドレスとパスワードがジャパンレンタカーで会員登録していたものだったのです。
また、ジャパンレンタカーでは、おそよ1年前に「WEB会員情報流出の可能性について」を公表しています。
こうしたことから、「ジャパンレンタカーに登録した個人情報が流出した」と僕は断定しました。
WEB会員情報流出の可能性について
2018年6月19日
ジャパンレンタカー株式会社この度、弊社の会員システムより会員様に関する情報の一部(メールアドレス及びパスワード)が外部へ流出した可能性があることが判明いたしました。
調査により下記の内容が確認できました。原因の究明には至っておりませんが、取り急ぎご報告申し上げます。 お客様並びに関係者の皆様に多大なるご迷惑をお掛けし申し訳ございません。深くお詫び 申し上げます。◇ 確認状況
- 会員システムから流出した可能性のある情報としてメールアドレス及びパスワードが外部に存在することが確認され、お預かりしている会員情報の一部が組み合わせと合致 していることが確認されました。
レンタカー貸出システムにつきましては、別のシステムで運用しておりますので本件とは関連がございません。◇ 今後の対応
- 会員情報データをネットワークから切り離し、安全な場所に隔離しております。
- 原因究明に向け、引き続き調査を継続します。
- WEB 会員システムを刷新し、安全な会員システムを開始する所存です。
- 新システム導入まで、予約時の入力項目を簡易内容にして対応いたします。
◇ 会員様へのお願い
- WEB 会員システムに登録されていたメールアドレス及びパスワードを他のサービスでご使用になられている場合は、当該他のサービスで登録されているメールアドレス又はパスワードをやかにご変更くださいますようお願いいたします。
- また、不審なメール等にご注意いただきますようあわせてお願いいたします。
今後も、新たな情報が確認でき次第、やかにご報告するとともに、会員様のご不安を少 しでも早く払拭できるよう全力で取り組んで参ります。
このお知らせ文の最後に、「不審なメールにご注意ください」とありますが、まさに不審なメールが届いたのです。
【不審なメール】ハッキングされています! すぐにパスワードを変更してください!
2019年5月16日、同じ内容のメールが2つのメールアドレスから届きました。
内容は以下のとおり。
変な日本語なので、真面目に読まなくて大丈夫です。
差出人
liliananorriss@mailcatch.com
gdlt1153@sbcglobal.net
件名
xxxx-xxx@swinginthinkin.com ハッキングされています! すぐにパスワードを変更してください!
本文
こんにちは!
私はあなたに悪い知らせがあります。
2019年02月11日 – この日、私はあなたのオペレーティングシステムをハッキングし、あなたのアカウント(xxxx-xxx@swinginthinkin.com *伏せています)にフルアクセスできました。
その日のあなたのアカウントパスワード(xxxx-xxx@swinginthinkin.com)は:hogehoge *伏せています
それはどうだった:
その日接続していたルータのソフトウェアには、脆弱性が存在しました。
私は最初にこのルータをハックし、その上に悪質なコードを置いた。
インターネットに接続すると、私のトロイの木馬はあなたのデバイスのオペレーティングシステムにインストールされました。
その後、私はあなたのディスクの完全なデータを保存しました(私はすべてあなたのアドレス帳、サイトの閲覧履歴、すべてのファイル、電話番号、あなたのすべての連絡先のアドレス)を持っています。
あなたのデバイスをロックしたかったのです。ロックを解除するために、私はお金がほしいと思った。
しかし、私はあなたが定期的に訪れるサイトを見ました, そしてあなたのお気に入りのリソースから大きなショックを受けました。
私は大人のためのサイトについて話しています。
私は言う – あなたは大きな変態です。 無限のファンタジー!
その後、アイデアが私の頭に浮かんだ。
私はあなたが楽しんでいる親密なウェブサイトのスクリーンショットを作った (私はあなたの喜びについて話しています、あなたは理解していますか?).
その後、私はあなたの喜びの写真を作った (あなたのデバイスのカメラを使って). すべてが素晴らしくなった!
あなたの親戚、友人、同僚にこの写真を見せたくないと強く信じています。
私は$743が私の沈黙のために非常に小さいと思う。
それに、私はあなたに多くの時間を費やしました!
私はBitcoinsだけを受け入れる。
私のBTCウォレット: 1LCmNKBd4RC4aJJDxGSeFEQfjA3sUsQXum
Bitcoinウォレットを補充する方法がわからないのですか?
どの検索エンジンでも、「btc walletにお金を送る方法」と書いてください。
クレジットカードに送金するよりも簡単です!
お支払いの場合は、ちょうど2日以上(正確には50時間)をご提供します。
心配しないで、タイマーはこの手紙を開いた瞬間に始まります。はい、はい。それはすでに始まっています!
支払い後、私のウイルスと汚れた写真は自動的に自己破壊されます。
私はあなたから指定された金額を受け取っていない場合、あなたのデバイスはブロックされ、あなたのすべての連絡先は、あなたの “喜び”と写真を受信します。
私はあなたが賢明であることを望みます。
– 私のウイルスを見つけて破壊しようとしないでください! (すべてのデータはすでにリモートサーバーにアップロードされています)
– 私に連絡しようとしないでください(これは不可能です;送信者のアドレスは自動的に生成されます。)
– 様々なセキュリティサービスはあなたを助けません。 あなたのデータは既にリモートサーバー上にあるので、ディスクのフォーマットやデバイスの破壊は役に立ちません。
P.S. 私は支払い後にあなたに再び邪魔をしないことを保証します。
これはハッカーの名誉のコードです。
これからは、良いアンチウィルスを使用し、定期的に更新することをお勧めします(1日に数回)!
私に怒らないでください、誰もが自分の仕事をしています。
お別れ。
日本語がわかりにくいので、わかりやすく解説
なんだこれは……。日本語の文面が明らかに怪しいですよね。外国人が翻訳ソフトで訳したものを、そのまま送っている印象を受けました。
わかりやすく解説します。
このメールでは、以下の内容で僕を脅迫しているのです。
- あなたのメールアドレスとパスワードはわかっている
- あなたのパソコンをハッキングした
- ルーターに脆弱性があった
- ルーターをハッキングし、トロイの木馬(コンピュータウイルス)を仕掛けた
その結果……
- あなたの完全なデータを保存した
- あなたのウェブの閲覧履歴を見たら、あなたは変態だとわかった
あなたの親戚、友人、同僚に知られたくなかったら……
- $745(日本円でおよそ8万2,000円)払え
- ビットコインで受け付ける
- 2日(正確には50時間)の支払猶予を与えよう
お金を支払ったら……
- 自動的にあなたから奪ったデータは破壊される
- もうあなたの邪魔はしないと保証する
日本語のおかしさもさることながら、脅し方も幼稚です。
僕は、変態だそうです。笑
一度漏洩した個人情報は、名簿化され、コピーされ、一生消せない
個人情報が漏洩すると、このように脅されて、金銭を要求されてしまいます。
こうした脅迫や詐欺は、1度や2度では止みません。今後もおそらく何かしらの攻撃があるでしょう。3度目、4度目は、巧妙になっているかもしれません。
ところで、個人情報は一度流出したら、もう元には戻りません。名簿化され、保管され、もしかしたらリストが転売されている可能性も考えられます。
ジャパンレンタカーは、メールアドレスとパスワードが外部に漏れたと公表しています。もし、氏名、住所、電話番号、生年月日、運転免許証番号も一緒に流出していたら……と思うとゾッとします。
もっと大変なことになっていたでしょう。
情報漏洩は自力では防ぎきれません。せめてパスワードの使い回しはやめよう!
自分のパソコンやスマホがハッキングされたのではなく、会員登録した先で情報漏洩した場合、ユーザーは無力です。防ぎようがありません。
そこで、せめて二次災害、三次災害を防ぐためにも、日頃からパスワードの使い回しはやめましょう。同じパスワードを使い回していたら、他のサイトにもログインできてしまうからです。
また今回、僕はメールで脅迫されましたが、かつて携帯電話に脅迫電話がかかってきたこともあります。そのときは、名前と携帯電話番号が漏洩したようです。
僕は「これは怪しい……」と思ったので、「聞き間違いや聞き漏れがあってはいけないので、通話内容を録音させていただきますね」と相手を威嚇したら、電話を切られてしまいました。
とにかく、個人情報はしっかりと守るべきですが、実は守り切れないものでもあるのです。
メール、電話、ダイレクトメールなど、「怪しい」と思ったら用心しましょう。
最後に余談ですが、僕はネットワークセキュリティを専門とするソフトウェア開発会社MOTEX(エムオーテックス)さんのオウンドメディアで連載をしています。情報漏洩やセキュリティに関して、身近に感じてもらえるようわかりやすくお伝えしていますので、よかったら読んでみてください。
■関連リンク
NO MORE 情報漏えい
情報セキュリティマンシリーズやコラムなどを担当しています