前回は、少しでも個人情報を守るためにというネタでしたが、今回はそんなことやっても、いずれあなたの個人情報は漏れていく、しかも格安で、という身もふたもない話です。 

メールアドレス程度の個人情報はわずか１ドル

 さて、いろいろとセキュリティ対応しても、あなたの使っているどこかのサイトからいずれ個人情報は漏れるでしょう。ただ、漏れたところで、実は大した価値はありません。

 

闇ウェブの世界を概観した、こちらによると、 

ダークウェブの動向に詳しいイタリアのセキュリティ専門家であれうピエルルイジ・パガニーニによれば、「一人分の個人情報が記憶されたデータは概ね１ドル程度」

とのことで、メールやパスワードが漏れたくらいなら、100円程度です。

クレジットカードならどうかというと、

平均単価は、クレジットカード会社、クレジッドカード番号、有効期限、氏名、セキュリティーコードのセットで、1件6〜10ドル程度だ。

あなたが大事だと思っている個人情報は600円くらいから、せいぜい1000円といったところです。

あるサイトでは、IDカード、パスポート、運転免許証、クレジットカードなどのスキャン画像データ約2500点が、僅か100ドルで売られていた。

あまりに漏洩するので、価値は下がる一方です。ちなみに、漏れたクレジットカードは、不正に利用された場合、カード保持者は「身に覚えがない」と言い張れば、請求されることはほぼありません。その分はカード会社がかぶるわけではなく、チャージバックと言われ、利用された店舗が負担することになります。

 

不正利用されたカード番号はすぐに利用停止となります。カード番号を不正に入手する側も、使えないカード番号を売られたらたまったものではありません。そのため、闇ウェブの業者もそれなりのサービスを提供しています。

販売されたデータの中に利用できないものがあった場合、入手から１時間以内であれば無料で交換することを謳う業者も多い。

良心的というかなんというか。。。

 

IoTと医療情報

され、これほど漏れる個人情報ですが、闇の世界ではより付加価値の高い情報を探して日々ビジネスが繰り広げられています。

では、次に狙われる付加価値の高い情報とは何かというと、「医療情報」だそうです。 

医療関係の情報は、「極上のセンシティブな情報」であり、それはクレジットカードなどよりもはるかに高値で売買されている。

そうです。こういった情報の利用価値は高く、例えば、

• 「１型糖尿病に悩むあなたのための生活習慣プログラム」と題されたスパムメールが送られる。愛娘から「お父さんの慢性腎不全が心配なので、ちょっと調べてみました」、そこに「食事療法.xls」などのウイルスファイルを添付。これを開くことでウイルスに感染→高い確率で感染させることができる。
• 重要個人の医療情報を入手。目の色、体系等を把握し、なりすましを行う

などが挙げられています。

 

今、医療ビックデータなど言われて、医療関係の情報は積極的に集められるでしょう。ただ、注意すべきは、医療分野は情報管理という面では大変遅れた業界です。ITシステムという面でも遅れていますし、利用する医師、看護師、薬剤師も決してITセキュリティーに明るい人たちではありません。

techon.nikkeibp.co.jp

 

そうなると、どこからか医療情報が漏洩するのは時間の問題です。

 

マイナンバーは大丈夫か

さらに不安なのは、マイナンバーです。政府はいずれマイナンバーを使って個人の医療情報の管理を行いたいと考えています。それは、診療報酬の適正化など、様々な目的があるのだとは思いますが、利用者のメリットよりも政府のメリットが大きい政策です。

 

マイナンバーが先に導入された韓国では、すでにマイナンバーの80%が漏れてしまい、新たな管理方法の検討が始められています。

 

また、マイナンバーが漏れるとそれと医療情報を結びつけるのは比較的容易なようです。

2015年9月29日、米ハーバード大学の研究者たちが論文（De-anonymizing South Korean Resident Registration Numbers Shared in Prescription Data）を発表した。この論文は、個人を特定できないはずの、韓国の患者医療データを非匿名化する実験を示したものだ。

これは、もともと匿名として管理されている医療情報を分析することで、どの個人の情報かを特定できたと言っています。

彼らはこの実験で、2万3163件のデータから2万3163人分、つまり100%の患者のRRN（Resident Registration Number:韓国の住民登録番号）を割り出すことに成功した。

韓国の全国民に発行されているRRNは、1968年から運用されてきた住民登録番号で、日本のマイナンバー制度と似た役割を担っている。しかし過去に何度も繰り返されてきた大規模なサイバー攻撃を通して、最低でも国民の80%以上の番号が流出したと考えられているため、韓国政府はRRNに変わる新たな制度構築を進める方針を表明している。

医療情報とすでに漏洩しているRRN（マイナンバーのような情報）を紐付けることで完全に個人を特定することが可能になります。

そうなると、個人が何科にかかり、どんな持病を持っているかも、だだ漏れになる可能性があります。その情報をもとに、新たなオレオレ詐欺や、フィッシングサイト、トロイの木馬等々の被害が発生する可能性があります。さらには、もっと被害の大きい新たな手口も開発される可能性があります。

 

研究者らはこのような技術を用いて患者の医療情報を非匿名化できる国は世界中にあると主張しており、例としてアメリカに本社を置く多国籍企業IMSヘルス社の名を挙げている。(IMSコリアに同意なく、データを横流しした疑い） 

日本も早かれ遅かれそこの仲間入りするのではないかと。

 

ちなみに、こちらにもありますが、医療のIoT、ビックデータは、次の成長分野です。 

 

医療データをはじめ、個人のあらゆる情報が収集される時代がもう目の前に来ています。もしかすると我々が気づかない形で収集される可能性もあります。

 

常にセキュリティーを意識し、何の情報が取られているのかを注意深く観察する必要があります。

 

また、マイナンバーも何に使われるのか十分に把握したうえで、提示必要があります。政府は個人情報の漏洩にはそれほど興味がありません。税金をより多くとる方が重要ですから。

 

恐ろしい世の中になったものです、ITリテラリーが多少高いぐらいでは、自分の情報も守れない時代に入りつつあります。あなたのクレジット情報などせいぜい600円です。もっと価値のある情報が狙われています。

 

 （ぜひ闇の世界も、表層くらいは知っておいた方がよいかと）

 

 （ダークウェブのECマーケット（といっても麻薬等、違法なECですが）、Silk Roadの話がまとまっています。 ）