infoMode

情報セキュリティからテクノロジー、お役立ち情報などを発信します。

FXを手がけるYahooの子会社から18万超の個人情報流出

またもや個人情報流出が起きてしまった模様。

ヤフー(4689)は2日、子会社のFX大手・ワイジェイFXの顧客情報について元従業員が持ち出しを行い、最大18万5626件が流出した恐れがあると発表した。元従業員がインターネット上で情報を保存していたため、閲覧可能な状態になっていた。流出した可能性のある情報には銀行の口座番号なども含まれるが、直接的な被害は現時点で確認していないという。

ヤフー、FX子会社で顧客情報流出 最大18万5626件 :日本経済新聞

なんと今回は金融関係の情報が流出してしまっている。過去の情報流出事件を見ても、金融情報が含まれた事件は損害賠償額が高くなる傾向にあるので、大ダメージになってしまうんじゃないかと他人事ながら心配だ。

インターネットに公開されてしまうと手遅れ

インターネット上に公開された情報が取り返せないということは何度も言われていることではある。しかし、本当に取り消せないのかどうかという疑問に対しては、非常に初期の段階かつ流出経路が完全に把握できている場合に関しては、事なきを得ることもある。

独自のドメインを開設し、サーバーにファイルを置いたぐらいではそう簡単に情報が拡散していくわけではない。実際には検索エンジンなどがクロールしてそのウェブサイトの情報を判断し、インデックスされることによって初めて検索エンジンで検索できるようになっているからだ。

それを逆手に利用したのがダークウェブだ。非常に厳密な隔離措置をとることによって検索エンジンなどの手を逃れ、一般的に発見されないようにしながらコソコソと運営している。もちろん、見つかってしまったが最後、あっという間にその存在がネット上を介して拡散してしまうのだが。(Wikileaksが良い例)

しかし、今回の事件は既に5万超の個人情報がクロールされていたということから、恐らくはどこかの有名なサービスにアップロードされていたのかも知れない。一度、クロールされてしまうと具合が悪い。なぜなら、クロールされた後に今度はインターネット上のサイトをアーカイブするサービスが半永久的に保存してしまう可能性があるからだ。

通常ウェブサイトを消去してしまえばサーバーは404エラーを返し、それを認識した検索エンジンによってそのウェブサイトはヒットしなくなる。

しかし、魚拓などに代表されるウェブサイトの保存サービスや、インターネットアーカイブなど昔に存在したウェブサイトの記録を保持し続けるサービスのおかげで、ただウェブサイトを消せば良いだけではなくなった。

よく、何かの炎上事件に巻き込まれてしまった被害者がツイッターやFacebookなどのアカウントをすぐに消してしまおうとすることがある。しかし、今ではネットユーザーのリテラシーが向上しすぎた結果、被害者が被害に気づく前に魚拓などといった記録を抑えてから炎上させるような流れに変わってきている。その結果、削除して何の意味をなさないどころか火に油を注ぐような行為になってしまっているのだ。

スポンサーリンク

 

内部からの流出は防げない

今回の事件は不正アクセスではなく、元従業員によるデータの持ち出しだったと報道されている。

不正アクセスや、管理ミス、誤操作などによる情報流出事件はまだ対策の打ちようがある。しかし、内部からの流出ばかりは如何なるセキュリティを持っていたとしても防ぎようがない。最終的に情報セキュリティは、情報を管理する人間の手にあるからだ。その人間に魔が差してしまえば情報流出を防ぐ手だてはない。

このような流出事件を防ぐための方法としては、情報にアクセスするためのハードルを高くすることだろう。しかし、それは利便性や業務効率とトレードオフになってしまう。業務効率、情報セキュリティ、流出した場合の損害賠償金額を総合的に判断しながら決断を下せれば良いが、なかなか定量化しにくい分野だけに難しい。

今後内部流出に対して、コンプライアンス以外にどのような再発防止策を子会社が打ち出すのか非常に興味深いところだ。