現在地 HOME > 掲示板
> IT2 > 179.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT2 > 179.html
★阿修羅♪
|
|
米国で「身元情報の窃盗」被害者が1000万人に。対策はいかに?【このニュースを読んだ後、あっしら氏の投稿を読むと興味深い。】
この記事での以下、注目箇所
◎下記は、盗まれた情報がどのように悪用されるかの例。
> 身元情報を盗んだ犯人は,前者の場合,新規にクレジット・カードなど
>を作ったりして利用する。後者の場合は,すでにある口座情報をそのまま
>使う。その目的は商品やサービスの購入である。また,警官に職務質問さ
>れたときや,逮捕されたときに使われるケースも多いという。
◎下記は、悪用された場合の具体的な手口例。
>例えば,家電小売大手Best Buyの販売サイト「BestBuy.com」の名を利用
>した事件が今年6月に報告されている(米CNET News.comの記事)。
>
> この事件では,インターネット・ユーザーに対し,あたかも
>BestBuy.comが発信元であるかのように見せかけたメールが送りつけられ
>た。同メールには,「BestBuy.comで商品購入の注文がありましたが,あ
>なたのクレジット・カード情報が使われていました」とあり,Webページ
>のリンクが記載されていた。メールは,確認のためとしてそれをクリック
>するよう促しており,そのWebサイトで個人情報を入力させるようにして
>いた。もちろんそのサイトはBestBuy.comを真似た偽サイトだった。
>
> 同様の事件は米Citibankでも起こっている。こちらも,偽電子メールと
>CitibankのWebサイトに似せたサイトを使ったもので,「社会保障番号を
>入力しないと,あなたの当座預金を閉鎖する」というものだった(英
>Reutersの記事)。
>
> 今年7月に報告されたのは,ソニーの米国法人Sony Electronicsの顧客
>サービスに見せかけたメールだ。「Sonystyle user and email address」
>という件名のメールで,ユーザー名やパスワード,電子メール・アドレス
>などの個人情報を求めたという(関連記事)。
◎下記は、ID theft問題に取り組むための組織が、実は本当の目的はオン
ライン・サービス/電子商取引企業の利益のためで、消費者保護は二の
次と言う欺瞞。
>こうした中,米国のIT業界団体であるITAA(Information Technology
>Association of America)が,ID theft問題に取り組むための組織
>「Coalition on Online Identity Theft」を発足させた(CNET News.com
>の記事)。これには米Amazon.com,米eBay,米Microsoftといったオンラ
>イン・サービス/電子商取引企業が参加している。その目的は,消費者へ
>の啓蒙活動だ。また,参加メンバー企業と政府機関が密接に協力するよう
>も働きかけていくという。
>
> この趣旨の触りだけを聞くと,大変頼もしい組織に見える。しかし実は
>この組織の活動にはある思惑がある。それは,同団体がITAAによって組織
>されたことに関係する。
>
> 実は今年の7月,カリフォルニア州で「Security Breach Information Act (S.B. 1386) 」
>と呼ぶ法令が施行された。これは,電子商取引を行う企業から何らかの事
>情で顧客情報が外部に漏れた場合,企業はその事実を顧客に告知しなけれ
>ばならないというもの。これに異を唱えているのが今回Coalition on
>Online Identity Theftを設立したITAAなのだ。
>
> CNET News.comの記事によると,彼らがなぜ反対しているかというと,
>「企業にとって多大な負担がかかり,人々が電子商取引から遠ざかってい
>くような不測の事態が起こるかもしれない」(ITAA)からだという。つま
>り,発足した組織の主な目的は,ID theftというものが存在することを消
>費者に知らせるだけ。そればかりか本当に消費者本位なのかと疑いたくな
>るような目的も持っている。
>
> ITAA情報セキュリティ部門バイス・プレジデントのGreg Garcia氏も同
>記事で,「(目的の)大半はパブリック・エデュケーションだ。人々は自
>分で自分の身を守れる」と言っている。
>
> 今回,カリフォルニア州で,ID theftなどの情報漏洩に関する消費者へ
>の告知義務が法制化された。さらに今後は連邦全体で同様の法律が施行さ
>れる可能性がある。そうなっては困るというのが同組織の本音である。
>「消費者教育こそ大事。だから我々はその活動をしている」と示すことで,
>こうした法制化の動きを阻止するのが目的である。だからこそ,その趣旨
>に「参加メンバー企業と政府機関が密接に協力するよう働きかけていく」
>というのがあるのだ。
◎下記は、金融機関、電子商取引業者の犯罪的とも言える態度。国際金融
家についてのあっしら氏の文章もこの機会に皆さんに読んでほしい。勉
強になります。また、このニュースに対するあっしら氏のコメントもお
聞きできたら幸いです。
>つまり,金融機関は被害額を費用として扱って処理するだけ。電子商取引
>業者は収益を確保するため,被害事実を隠したがる,というのが現状なの
>だ。これではしわ寄せが消費者に来るばかりで,早くこの状態を変えない
>と消費者は遠のいてしまう。FTCの調査でこれだけの被害が明らかになっ
>た今,ITAAのようなのんきなことは言っていられないと思うのは筆者だけ
>ではないだろう。
[2003/09/26]
米国で「身元情報の窃盗」被害者が1000万人に。対策はいかに?
http://itpro.nikkeibp.co.jp/members/ITPro/USURA/20030925/1/
「ID theft」(アイディー・セフト)をご存じだろうか。ここ最近米メ
ディアで頻繁に登場する言葉だ。日本語にすれば「身元情報の窃盗」とな
るだろうか。個人情報の漏えいといった漠然としたものとは異なり,情報
を不法に取得し,悪用するという犯罪行為を限定的に指している。最近,
この手の犯罪がいっこうに収まらないことから米国では大きな問題になっ
ているという。
このほど米連邦取引委員会(FTC:Federal Trade Commission)がまと
めた調査報告書によると,昨年のID theftによる被害者数は米国人口の
4.6%にあたる1000万人。その被害額は,消費者で50億ドル,企業や金融
機関の被害額は480億ドルにのぼるという(SiliconValley.comの記事)。
ID theftについては,これまで消費者団体や民間調査機関がなどが独自
に調査していたが,実のところ実態がよく分からなかった。そこでこのほ
どFTCが初めて全米規模で調査した結果,予想をはるかに上回る被害実態
が浮かび上がったというわけだ。今回はこのID theftについてレポートし
てみたい。
■消費者の平均被害額は1180ドル
ID theftには,氏名,住所,社会保障番号といった身元情報を盗むもの
と,銀行口座やクレジット・カードといった何らかの口座情報を盗むもの
がある。狭義では前者をID theftと呼び,後者は個別に「account theft」
とし,区別することがある。ただし一般的にはこれらをひとまとめにして
ID theftと呼んでいる。
身元情報を盗んだ犯人は,前者の場合,新規にクレジット・カードなど
を作ったりして利用する。後者の場合は,すでにある口座情報をそのまま
使う。その目的は商品やサービスの購入である。また,警官に職務質問さ
れたときや,逮捕されたときに使われるケースも多いという。
新規に口座を作られた場合の1事件当たりの平均被害額は,消費者の場
合1180ドル,金融機関では1万200ドルになる。既存口座の場合は消費者が
160ドル,金融機関が2100ドルとぐっと少ない。前者の場合は犯行に気づ
くのが遅れるため,それだけ被害額が増えるらしい。信用情報を修復する
ために要する時間は前者の場合は60時間だが,後者の場合は15時間という。
■偽の電子メールとWebサイトで情報入手
この手の犯罪はこれまでにもあった。いわゆる身元詐称による詐欺だ。
しかしインターネット時代の今はかつてよりも深刻な問題となっている。
それは,いとも簡単に大量の情報を集められる手段があるからだ。例えば,
家電小売大手Best Buyの販売サイト「BestBuy.com」の名を利用した事件
が今年6月に報告されている(米CNET News.comの記事)。
この事件では,インターネット・ユーザーに対し,あたかも
BestBuy.comが発信元であるかのように見せかけたメールが送りつけられ
た。同メールには,「BestBuy.comで商品購入の注文がありましたが,あ
なたのクレジット・カード情報が使われていました」とあり,Webページ
のリンクが記載されていた。メールは,確認のためとしてそれをクリック
するよう促しており,そのWebサイトで個人情報を入力させるようにして
いた。もちろんそのサイトはBestBuy.comを真似た偽サイトだった。
同様の事件は米Citibankでも起こっている。こちらも,偽電子メールと
CitibankのWebサイトに似せたサイトを使ったもので,「社会保障番号を
入力しないと,あなたの当座預金を閉鎖する」というものだった(英
Reutersの記事)。
今年7月に報告されたのは,ソニーの米国法人Sony Electronicsの顧客
サービスに見せかけたメールだ。「Sonystyle user and email address」
という件名のメールで,ユーザー名やパスワード,電子メール・アドレス
などの個人情報を求めたという(関連記事)。
■顔見知りが犯人のことも
FTCの調査では,被害者が犯人のことを知っている場合が少なくないこ
とも分かった。被害に遭った人のうち26%は,犯人は知人だったという。
そのうちの25%は犯人が個人情報にアクセスできる権限を持った社内の人
間だった。また18%が友人や親戚,または被害者の家で働く人だったとい
う。
被害者が,どのようにして身元情報が盗まれたかを知っている場合も少
なくない。事件全体の25%のケースで,情報がメールや,財布の紛失(盗
難も含む)によって盗まれていた。また13%は商品購入など,何らかの商
取引を通じて盗まれたという。
なお,身元情報を盗んでクレジット・カードなどを作る犯罪(狭義のID
theft)の昨年の被害者数は330万人だった。口座情報を盗んでそれを悪
用する犯罪(account theft)の昨年の被害者数は660万人である。前者の
事件件数は過去2年間横ばい状態が続いているが,後者の場合は前年比71
%増となっている(米New York Timesの記事)。
■名ばかりの対策組織が発足
こうした中,米国のIT業界団体であるITAA(Information Technology Association of America)が,
ID theft問題に取り組むための組織「Coalition on Online Identity
Theft」を発足させた(CNET News.comの記事)。これには米Amazon.com,
米eBay,米Microsoftといったオンライン・サービス/電子商取引企業が
参加している。その目的は,消費者への啓蒙活動だ。また,参加メンバー
企業と政府機関が密接に協力するようも働きかけていくという。
この趣旨の触りだけを聞くと,大変頼もしい組織に見える。しかし実は
この組織の活動にはある思惑がある。それは,同団体がITAAによって組織
されたことに関係する。
実は今年の7月,カリフォルニア州で「Security Breach Information Act (S.B. 1386) 」
と呼ぶ法令が施行された。これは,電子商取引を行う企業から何らかの事
情で顧客情報が外部に漏れた場合,企業はその事実を顧客に告知しなけれ
ばならないというもの。これに異を唱えているのが今回Coalition on
Online Identity Theftを設立したITAAなのだ。
CNET News.comの記事によると,彼らがなぜ反対しているかというと,
「企業にとって多大な負担がかかり,人々が電子商取引から遠ざかってい
くような不測の事態が起こるかもしれない」(ITAA)からだという。つま
り,発足した組織の主な目的は,ID theftというものが存在することを消
費者に知らせるだけ。そればかりか本当に消費者本位なのかと疑いたくな
るような目的も持っている。
ITAA情報セキュリティ部門バイス・プレジデントのGreg Garcia氏も同
記事で,「(目的の)大半はパブリック・エデュケーションだ。人々は自
分で自分の身を守れる」と言っている。
今回,カリフォルニア州で,ID theftなどの情報漏洩に関する消費者へ
の告知義務が法制化された。さらに今後は連邦全体で同様の法律が施行さ
れる可能性がある。そうなっては困るというのが同組織の本音である。
「消費者教育こそ大事。だから我々はその活動をしている」と示すことで,
こうした法制化の動きを阻止するのが目的である。だからこそ,その趣旨
に「参加メンバー企業と政府機関が密接に協力するよう働きかけていく」
というのがあるのだ。
■消費者ができることには限界がある
しかし,ID theftの問題は,消費者への啓蒙活動だけでは限界があると
いう意見が多い。例えば,消費者に偽の電子メールやWebサイトが存在す
ることを知らしめて,注意を呼びかけてみても,ID theftは消費者のコン
トロールできない場面で起こることが多い。企業情報への不正侵入しかり,
情報担当者の不正行為しかりである。
その場合,銀行や信販会社が最後の砦(とりで)となる。審査業務を徹
底すれば,クレジット・カードなどの発行を食い止めることができるから
だ。ところが,これら金融機関はカード申請の際に「なまぬるい調査しか
行わない」(サンディエゴIdentity Theft Resource CenterのLinda Foley氏)
という。理由は銀行や信販会社が審査業務を速やかに行いたい
と思っているからなのだという(掲載記事)。
米Gartnerは,「銀行や信販会社は,ID theftの取り扱いを誤っている」
と指摘している。銀行や信販会社はこうした被害を,彼らのビジネス継続
に必要な「費用」として捉えており,真剣に詐欺事件として扱っていない
というのだ。だからこそ法制化が必要とGartnerは言っている。「政治家
や業界団体などからの外圧がない場合,金融機関にはID theftを排除する
ための積極的な理由がないだろう」(GartnerアナリストのAvivah Litan
氏)というわけだ。(掲載記事)。
つまり,金融機関は被害額を費用として扱って処理するだけ。電子商取
引業者は収益を確保するため,被害事実を隠したがる,というのが現状な
のだ。これではしわ寄せが消費者に来るばかりで,早くこの状態を変えな
いと消費者は遠のいてしまう。FTCの調査でこれだけの被害が明らかにな
った今,ITAAのようなのんきなことは言っていられないと思うのは筆者だ
けではないだろう。
◎関連記事
■パワードコムが一部顧客情報を紛失,業務用パソコンの盗難か?
■TIS,個人情報漏洩の再発防止に抜本策
■個人情報を守れ――ノート・パソコンの社外への持ち出しが“落とし穴”
■7月から施行された米カリフォルニア州の新しいプライバシ法,企業の認識は低い
■解説●個人情報保護法で変わるセキュリティ対策
■どうやって個人情報を守りますか?
■ソニー米国法人,顧客サービスを騙る詐欺メールについて警告
■米eBay,オークション利用者の保護制度や詐欺防止策などを発表
■仕事熱心な「あなた」が危ない――情報はここから漏れる
■インターネット犯罪行為で130人以上を逮捕,米司法省が発表
■警鐘●危険なネット銀行を作るな
■「セキュリティ意識向上でスマート・カード市場は2けた成長が続く」,米社の調査
■バイオメトリクス認証は万全ではない,なりすましを許す可能性あり
(小久保 重信=ニューズフロント)
■著者紹介:こくぼ しげのぶ
ニューズフロント社長。1961年生まれ。98年よりBizTech,BizIT,IT Proの「USニュースフラッシュ」記事を執筆。2000年,有限会社ビットアークを共同設立し,「日経MAC」などに寄稿。2001年,株式会社ニューズフロントを設立。「ニュースの収集から記事執筆・編集など,IT専門記者・翻訳者の能力を生かした一貫した制作業務」を専門とする。共同著書に「ファイルメーカーPro 職人のTips 100」(日経BP社,2000年)がある。
題名には必ず「阿修羅さんへ」と記述してください。