27億件のSSN流出:10年前のデータが今も危険な理由
UpGuardが発見した30億件規模のデータ流出。古いパスワードと社会保障番号が今も脅威となる理由を解説。日本企業への教訓も。
30億件。この数字を見て、サイバーセキュリティ専門家のグレッグ・ポロック氏でさえ疲労感を忘れたという。
サイバーセキュリティ企業UpGuardの研究責任者である同氏は、1月にオンラインで発見された露出データベースについて「規模があまりにも巨大で、検証作業に飛び込まざるを得なかった」と語る。発見されたのは、約30億件のメールアドレスとパスワード、そして27億件の社会保障番号を含む記録だった。
10年前のデータが持つ現在の脅威
このデータベースの所有者は不明だが、National Public Dataの2024年流出を含む過去の複数のデータ侵害から収集された情報が含まれていると推測される。研究者らがパスワードの文化的参照を分析した結果、データの大部分は2015年頃のアメリカのものと判明した。
One Direction、Fall Out Boy、Taylor Swiftへの言及が多い一方、BlackpinkやBTS関連の参照はほとんど見られなかった。この時代的特徴が、データの古さを物語っている。
「古いデータでも価値がある理由は2つあります」とポロック氏は説明する。第一に、人々は同じメールアドレスとパスワード(またはその変形)を長期間使い続ける傾向がある。第二に、社会保障番号は生涯変わることがほとんどないため、身元盗用の「王冠の宝石」となる。
日本への教訓:マイナンバーと企業責任
研究者らが検証したサンプルでは、4分の1の社会保障番号が有効で正当なものだった。仮に全データセットに同じ比率を適用すれば、6億7500万件の有効なSSNが含まれることになる。
日本企業にとって、この事件は重要な示唆を含んでいる。マイナンバー制度を持つ日本では、個人番号の流出が同様の長期的リスクを生む可能性がある。ソニーが2014年に経験したサイバー攻撃や、近年のJR東日本の個人情報流出事件を思い起こさせる。
ドイツのクラウドプロバイダーHetznerがホストしていたこのデータベースは、1月16日の通報を受けて21日に削除された。しかし、データが露出していた期間中に悪用された可能性は残る。
見えない被害者たち
最も懸念すべき発見は、データが含まれていた一部の個人が、まだ身元盗用やハッキングの被害に遭っていないことだった。「潜在的な被害者は、自分の情報が流出していることを知らない」とポロック氏は強調する。
これは2015年の米人事管理局流出や2017年のEquifax侵害が示すように、データ流出の影響が何十年も続く可能性を示している。日本でも、過去のベネッセ個人情報流出事件(2014年)の影響が今も続いているように、一度流出したデータは永続的な脅威となり得る。
本コンテンツはAIが原文記事を基に要約・分析したものです。正確性に努めていますが、誤りがある可能性があります。原文の確認をお勧めします。
関連記事
イラン政府系ハッカーが米国の水道・電力・地方政府システムを標的にしたサイバー攻撃を強化。FBI・NSA・CISAが共同警告を発令。日本の重要インフラへの示唆とは。
米国税関・国境警備局の機密情報が学習アプリQuizletに公開されていた事件。誰が、なぜ、そして私たちは何を考えるべきか。セキュリティと人間の「うっかり」の交差点。
サイバーセキュリティの第一人者ミッコ・ヒッポネンが、マルウェアからドローン防衛へと転身。ウクライナ戦争が示す「空の脅威」と、日本の安全保障への示唆を読み解く。
FBIの監視システムへのサイバー侵入が国家安全保障上の「重大インシデント」に認定。中国が関与か。日本企業・社会への影響と、デジタルインフラの脆弱性を多角的に分析します。
イラン政府系ハッカーが米国の水道・電力・地方政府システムを標的にしたサイバー攻撃を強化。FBI・NSA・CISAが共同警告を発令。日本の重要インフラへの示唆とは。
米国税関・国境警備局の機密情報が学習アプリQuizletに公開されていた事件。誰が、なぜ、そして私たちは何を考えるべきか。セキュリティと人間の「うっかり」の交差点。
サイバーセキュリティの第一人者ミッコ・ヒッポネンが、マルウェアからドローン防衛へと転身。ウクライナ戦争が示す「空の脅威」と、日本の安全保障への示唆を読み解く。
FBIの監視システムへのサイバー侵入が国家安全保障上の「重大インシデント」に認定。中国が関与か。日本企業・社会への影響と、デジタルインフラの脆弱性を多角的に分析します。
意見
この記事についてあなたの考えを共有してください
ログインして会話に参加