2011年7月末、韓国「SK Communications」のユーザ約3500万人の個人情報が漏えいした事例について多数の報道がなされました。SK Communicationsは、ソーシャル・ネットワーキング・サービス(SNS)やモバイル通信サービス、インスタント・メッセージ・サービスなどを提供する韓国最大のオンライン・サービス・プロバイダです。今回の情報漏えいでは、同社が運営するポータルサイト「Nate」とSNS「CyWorld」のユーザが影響を受けているようです。
■SK Communicationsからの情報漏えい
同社は、提供するサービスの幅広さから、ユーザを守るセキュリティ対策の実施が必要とされ、そのためには、他の多くのサービスプロバイダよりも機密性の高い個人情報を保護しユーザのアカウントを取りまとめることが求められてきました。しかし残念なことに、こうしたセキュリティ対策の最も重要な部分が狙われ、ユーザに甚大な影響を与えることとなりました。報道によると 流出した情報には、ユーザ名やEメールアドレス、連絡先の番号、ユーザの血液型などの暗号化されたものなどが含まれていたとのことです。
韓国でのインターネット使用状況を見てみると、興味深いデータが出ており、情報漏えいが発生した場合、ユーザにどれほどの影響が及ぶのかについて推測することも可能です。韓国のインターネット普及率は高く、インターネットの速度は、スマートフォンなどのモバイル機器からオンラインバンキングを利用するのに十分なほどです。そのため、こうした利点から、韓国ではモバイルバンキングの利用率が非常に高くなっているようです。ユーザがこうしたモバイルバンキングやSNSなどのオンラインアカウントにすべて同じ情報と同じパスワードを用いた場合、サイバー犯罪者は、収集した個人情報を利用して次なる攻撃を仕掛けることができます。
SK Communicationsは、今回の情報漏えいを受け、「Nate」および「CyWorld」のユーザに注意を呼びかけています。同社は、ユーザの個人情報が流出したことに対して謝罪するとともに、電話を使って銀行口座やパスワードなどを聞き出すフィッシング詐欺「ボイスフィッシング」の電話を受けたり、スパムメールを受信した際の対応方法を提示しています。詳しい情報については、こちらをご参照ください。
■過去の情報漏えい事件から学ぶべきこと
ユーザが習慣付けるべきことの1つとして、オンラインアカウントごとに異なるパスワードを作成することが挙げられます。これは、過去にも大規模な情報漏えいが発生した際にも呼びかけていますが、それ以前からも繰り返し呼びかけている注意事項です。アカウントごとにパスワードを変更することにより、1つのアカウントから情報が収集されたとしてもそれ以外のアカウントにはそのパスワードを転用することはできず、情報が容易に収集されることはないため、セキュリティを高められると同時に安心感を得ることもできます。また、それらのパスワードの使い回しをせず定期的に変更することも言うまでもなく必要です。
これまでの事例から、サイバー犯罪者は、攻撃を仕掛けるために、まず標的とする企業の広範囲に及ぶ調査を行い、この企業のセキュリティ上の「弱点」を見つけ出します。次に、確認した弱点に基づきネットワークを介した攻撃、またはソーシャルエンジニアリングによる攻撃を仕掛けます。弱点は、企業によって「システムに存在するセキュリティ上の欠陥」や「好奇心などの『人間の脆弱性』」であったりしますが、サイバー犯罪者は、これらの弱点を突くのに適した手口を用い、企業のネットワークに侵入します。その後、自身の目的を達成するまで、侵入した企業のIT担当者などに気付かれないよう密かに情報を収集していくのです。
これまでのところ、今回の情報漏えいの手口について詳細はほとんど明らかになっていませんが、新たな情報が得られ次第、本ブログを通じてお知らせします。
参考記事:
- 「Large Data Breach in South Korea, Data of 35M Users Stolen」
by David Sancho (Senior Threat Researcher)
翻訳・編集:橋元 紀美加(Core Technology Marketing, TrendLabs)