27億件のSSN流出：10年前のデータが今も危険な理由

30億件。この数字を見て、サイバーセキュリティ専門家のグレッグ・ポロック氏でさえ疲労感を忘れたという。

サイバーセキュリティ企業UpGuardの研究責任者である同氏は、1月にオンラインで発見された露出データベースについて「規模があまりにも巨大で、検証作業に飛び込まざるを得なかった」と語る。発見されたのは、約30億件のメールアドレスとパスワード、そして27億件の社会保障番号を含む記録だった。

10年前のデータが持つ現在の脅威

このデータベースの所有者は不明だが、National Public Dataの2024年流出を含む過去の複数のデータ侵害から収集された情報が含まれていると推測される。研究者らがパスワードの文化的参照を分析した結果、データの大部分は2015年頃のアメリカのものと判明した。

One Direction、Fall Out Boy、Taylor Swiftへの言及が多い一方、BlackpinkやBTS関連の参照はほとんど見られなかった。この時代的特徴が、データの古さを物語っている。

「古いデータでも価値がある理由は2つあります」とポロック氏は説明する。第一に、人々は同じメールアドレスとパスワード（またはその変形）を長期間使い続ける傾向がある。第二に、社会保障番号は生涯変わることがほとんどないため、身元盗用の「王冠の宝石」となる。

日本への教訓：マイナンバーと企業責任

研究者らが検証したサンプルでは、4分の1の社会保障番号が有効で正当なものだった。仮に全データセットに同じ比率を適用すれば、6億7500万件の有効なSSNが含まれることになる。

日本企業にとって、この事件は重要な示唆を含んでいる。マイナンバー制度を持つ日本では、個人番号の流出が同様の長期的リスクを生む可能性がある。ソニーが2014年に経験したサイバー攻撃や、近年のJR東日本の個人情報流出事件を思い起こさせる。

ドイツのクラウドプロバイダーHetznerがホストしていたこのデータベースは、1月16日の通報を受けて21日に削除された。しかし、データが露出していた期間中に悪用された可能性は残る。

見えない被害者たち

最も懸念すべき発見は、データが含まれていた一部の個人が、まだ身元盗用やハッキングの被害に遭っていないことだった。「潜在的な被害者は、自分の情報が流出していることを知らない」とポロック氏は強調する。

これは2015年の米人事管理局流出や2017年のEquifax侵害が示すように、データ流出の影響が何十年も続く可能性を示している。日本でも、過去のベネッセ個人情報流出事件（2014年）の影響が今も続いているように、一度流出したデータは永続的な脅威となり得る。