恋活・婚活マッチングアプリ「Omiai」を提供するネットマーケティングは5月21日、外部からの不正アクセスを受け、171万1756件分の個人情報が漏えい可能性が高いと発表した。2018年1月31日〜21年4月20日に会員登録を行った一部会員(退会者を含む)の、年齢確認・審査書類の画像データが対象だ。
年齢確認には「運転免許証、健康保険証、パスポート、マイナンバーカード(表面)等」が使われ、その過半数を運転免許証の画像データが占めている。これらの情報はオンラインでの本人確認で利用されることが多く、当然、その中には氏名、住所、生年月日、顔写真が含まれ、“替えのきかない”個人情報が漏えいしたといえるだろう。
マッチングアプリ「Omiai」を管理するサーバーが不正アクセスを受け、約171万件の個人情報が漏えいした可能性がある=画像はOmiaiの公式サイトより発表内容はあくまで第一報であり、その中で「システム全般面における第三者検証を開始する」とあるため、サイバー攻撃の手口といった詳細は今後明らかになっていくはずだ。
今回の事象は学ぶべき点も多く、本件とは無関係の企業、サービスも場合によっては対応を考えるべきだ。“Omiai事件”から学ぶべき点を考えてみよう。
根本的な問題は「持つべきものではない情報を持ったこと」
恋活・婚活マッチングをサービスとして行う以上、本人確認を厳格に行うべきなのは理解できるだろう。年齢確認などのため、必要な情報をインターネット経由で確認することは必要なステップといえる。問題は、その情報が確認完了後も保管されていたことにあるだろう。
セキュリティの基本として、情報漏えいを防ぐ最大の対抗策は「そもそも情報を持たない」ことだ。
例えばクレジットカードに関していえば、かつては「カード裏面に記載されたセキュリティコード(CVV2/CVC2)を保存しないこと」がベストプラクティスであり、決済の常識だった。これはペイメントカード情報と取引における基準「PCI DSS」でも定められているものだ。しかし、そうした知識がなかった企業で、セキュリティコードが漏えいする事件が相次いだことは記憶に新しい。
現在ではクレジットカード決済自体をアウトソーシングすることが一般的となっており、決済処理は行うものの、自社内にクレジットカード情報を一切残さないというセキュリティ対策が浸透したともいえるだろう。
写真はイメージです(提供:ゲッティイメージズ)今回の事件に当てはめると、もし年齢確認が完了したならば、管理に気をつかうべき運転免許証などの画像データは破棄する選択肢もあっただろう。本サービスに限らず、厳密な本人確認のためにオンラインで画像データを取得しているサービスを運営する事業者は、この点について見直しが必要だ。
もちろん、業種業態によっては一度確認した書類を、後ほど活用する場合もあるだろう。その際は都度、書類を送信してもらうことも検討すべきだが、どうしても運転免許証などの画像データを保管しなければならない場合、暗号化して保存することは最低限行わなければならない。同様に、その暗号鍵に関しても、厳重に管理する必要がある。暗号化を行ってさえいれば、万が一データが漏えいしたとしても、画像そのものを見ることができなくなるはずだ。
しかし、それを単に「パスワード付きZIPファイル」などで暗号化しただけでは、パスワードを総当たりすることで復号されるリスクがある。最低限行うべき手法などについては、情報処理推進機構(IPA)の「暗号鍵管理ガイドライン」や、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクト「CRYPTREC」の資料が役に立つだろう。
この事件は“詐欺師”も注目するはずだ
このような事件は、今回が初めてではない。
関連記事
1月には、仮想通貨取引所を運営する「QUOINE」で、2万8639件の身分証明書画像が漏えいしたことが話題になった。
運転免許証は、日本では利用範囲が幅広い身分証明書といえる。これがあれば、一発で本人であると認められるオールマイティーなカードだ。非対面であっても、画像がすさまじい威力を持つ情報であることも理解できるだろう。そんな情報が171万件以上も漏えいしたとすれば、Omiaiを攻撃した張本人だけでなく、“次の攻撃”を狙うサイバー攻撃者が出てくることも、想定しなければならない。
新たに登場するだろうサイバー攻撃者は、Omiaiで漏えいしたデータを探し、場合によっては“有料で”データを買うことになるだろう。
すでにGoogleの検索サジェストはこのように変化しているその画像をもとに、本人確認を運転免許証の画像データ“だけ”で行うようなサービスのうち、金銭が関係するものを厳選し、なりすましの登録を行う可能性がある。出金できる、換金できるようなサービスを運営している企業は、今のうちに本人確認プロセスを見直し、なりすまし対策が十分かを確認すべきだ。
もしこの攻撃が有効であるとサイバー攻撃者が考えたならば、次は「画像アップロードによる本人確認」という機能を持つフォームそのものが狙われる。万が一、Webサーバに侵入され、ユーザー登録の画面に不正なスクリプトを埋め込めてしまうと、フォームに登録した情報を横から盗み出すことも可能だ。
そうならないよう、Webサーバを含むシステムの改ざん検知の仕組みも設けるべきだ。クレジットカード決済機能はアウトソーシングが進んでおり、システムとしてカード情報を一切保管しないようになった結果、クレジットカード番号を入力するフォームそのものが狙われつつある。これと同じことが起きる可能性を考えなくてはならない
「eKYC」を見直そう
根本的な対策としては、画像が漏えいしたとしてもなりすましを防ぐような、高度な「eKYC」を導入することだろう。
関連記事
eKYCとは「Electronic Know Your Customer」の略で、オンラインで本人確認をする手法を指す。広義では運転免許証の画像データを送信することもeKYCだが、最近ではその手法も変わりつつある。
例えば、メルカリが運営する「メルペイ」では、運転免許証を本人確認に使うのは同じだが、自分の顔と運転免許証を同時に撮影したり、免許証の「厚さ」を確認させたりするなど、単純な画像だけでは突破できないようになっている。同様の処理はすでにサービス化され、NECや日立、GMOなどさまざまな企業が提供している。
今回の事件で被害に遭われた方は、ひきつづき動向を注視しつつ、二次被害の情報が出た場合、取れるアクションを取っていただきたい。ただ今回の事件は利用者側でできることがほとんどなく、Omiai側が積極的な情報発信を、被害者に行うことを期待したい。こういった事件が起きると、被害者に向けて被害軽減をうたい、さらなる詐欺行為を行う攻撃者も登場する。甘い言葉に乗らぬよう、注意していただきたい。
そしてインターネット上でサービスを提供している企業の方々には、漏えいした運転免許証の画像データだけで本人確認を行うことが、もはや危険であることを認識していただきたい。単なる画像アップロードではない高度なeKYCを導入することが、「運転免許証の画像データが漏えいしている前提」の社会では必要になるのかもしれない。
関連記事
からの記事と詳細 ( 「Omiai」情報漏えい事件、何がダメだったのか 他の会社も「他人事ではない」理由 - ITmedia )
https://ift.tt/3oFYh3Y
No comments:
Post a Comment