「プロファイリング」の可能性も…韓国最大Eコマース企業、個人情報流出による悪影響
韓国の最大Eコマース企業「クーパン」で多くの利用者の住所、電話番号、名前などの敏感な個人情報が流出する広範な被害が発生している中、流出した情報が悪用される二次被害の可能性が高まっている。今年相次いで発生した大規模ハッキング事故で多くの個人情報がすでに流出しているだけに、攻撃者が流出した情報を組み合わせて個人に対する具体的な情報を獲得する三次被害も懸念される。
30日現在で確認されているクーパン流出事故の被害規模は、アカウント3370万件にのぼる。オンライン取引を利用している事実上すべての人々の情報が流出したと推定されるが、さらなる調査で流出した情報の数が増える可能性もある。実際、クーパンは20日には4500件のアカウント情報が流失したと公表していたが、社外の人員がかかわる調査の過程で被害アカウント数は7500倍に増えた。
最も懸念されるのは、クーパンを詐称したスミッシング(ショートメッセージなどで悪質なリンクを送りつけてクリックを誘導したりするフィッシング)などの二次被害だ。今回流出したとされる情報は住所や注文内訳などの配送に関する情報であるだけに、消費者が特に注意すべきは荷物の到着を装って悪質なコードがショートメッセージなどで送りつけられることだ。世宗大学のパク・キウン教授(情報保護学)は、「暗証番号は変更が容易だが、配送先住所などは変更がとても難しい情報だ」として、「住所に関係するフィッシング攻撃などに市民は注意すべきだ」と語った。住所を悪用して「裁判所出頭」、「過料納付」などと記された郵便物を送りつけてくる可能性もあるため、注意する必要がある。
個人情報を組み合わせる三次被害も懸念される。クーパンから流出した情報も問題だが、今年相次いで発生したハッキング事故ですでに流出している様々な個人情報と組み合わさると、プロファイリング(対象を分析して共通の特徴を引き出すこと)によって個人が特定されるというかたちの被害の可能性も排除できないからだ。
例えば、攻撃者が8月にロッテカードから流出したカード番号▽暗証番号▽住民登録番号▽電話番号などを確保しているとすると、今回クーパンから流出した恐れのある氏名▽電話番号▽配送先などの情報を組み合わせれば、共通する「電話番号」を手掛かりとしてパズルのように残りの個人情報が手に入るというわけだ。亜洲大学のクァク・チン教授(サイバー保安学)は「クーパンから敏感な情報が流出していなかったとしても、すでに流出している情報を組み合わせて個人を特定することも可能だ」として、「非常に広範な情報が流出したため、悪用される可能性が高い。非常に多様なかたちの二次、三次被害が発生しうる」と述べた。
被害を防止するには、出所の不明なショートメッセージに表示されたアドレスはクリックを控えるとともに、疑わしいアドレスは正常なサイトと一致するかどうかを確認する。政府は追加被害を防ぐために、29日に韓国インターネット振興院の運営するウェブサイト「保護ナラ」(https://www.boho.or.kr )で注意を呼びかけている。カカオトークチャンネル「保護ナラ」でスミッシングやフィッシングかどうかを判別する機能も提供されている。
訳D.K
