[31日 ロイター] - 顧客情報の大規模流出事件がまた発生した。米金融サービス大手キャピタル・ワン・ファナンシャル (N:COF)は今週、不正アクセスによって1億人の情報が盗まれたことを明らかにした。
セキュリティーの専門家は、サイバー空間で暗躍する犯罪者や、国家の支援を受けたハッカーたちが、企業や政府機関が持つ秘密情報を狙っていることから、今後も情報流出は続くと警告する。
そうした攻撃によって消費者は詐欺やIDの盗難などの被害を受けやすくなっている。
以下で、事態がどれだけ深刻かを判断し、より適切に身を守るためのいくつかの手順を説明したい。
<どんな情報が盗まれるのか>
流出する情報は多岐にわたる傾向がある。氏名や電子メールアドレスなど、もともと公に入手できるものはそれほど心配しなくても良い。ただ、例えば本人になりすまして勝手に買い物されかねないクレジットカード番号や、各種インターネットのアカウントなどは特に注意をして保護措置を講じる必要がある。
盗まれた情報は、暗号化されていることで引き続き守られているケースもあるだろう。一般の消費者にとっては、金銭的な動機を持つ犯罪者よりも外国政府によるハッキングの方が危険は少ない。そうしたスパイ機関のほとんどは個人情報の売買には手を出さないからだ。
キャピタル・ワンの場合、流出情報の多くは米国とカナダの1億人余りの氏名や住所だったが、14万件の社会保障番号も含まれており、これはIDの盗難につながってもおかしくない。
情報流出の深刻度を把握するには、どんな情報がどのような形で盗まれたかを確定しなければならない。
<自分に影響があるか>
まずはあなた自身のデータが流出したかどうかを確かめる必要がある。あなたは不正アクセスされた企業の顧客か、またその企業があなたのどういったデータを持っているか把握しているか、流出したのは特定の時期に集められたデータか。
これらの疑問を解くことで、あなたは危険レベルを判断できる。もっとも、いくつかの企業はあなたが知らないうちにデータを収集している可能性があることには留意しなければならない。2017年に1億4700万人分のデータ流出事件を起こした信用調査会社エクイファックス (N:EFX)も、そうしたケースに当てはまる。
データを盗まれた企業は通常、影響を受けた人に通知する義務がある。とはいえ、いつもすぐに教えてくれるわけではない。一般的にはデータ流出に関して自社のサイトに消費者向けのお知らせが掲載される。
欧州連合(EU)の一般データ保護規則(GDPR)によると、企業は深刻なデータ流出の被害者に「遅滞なく」知らせる必要がある。流出の性質や予想される影響、現在行っている対応策などを「明確かつ平易な言葉」で説明しなければならない。
<詐欺に警戒を>
もしあなたのデータが流出したと分かれば、詐欺にあわないようにしっかり警戒してほしい。
特に金融関連の情報が盗まれたなら、銀行口座の残高やカードの使用明細を念入りにチェックすることだ。そこでいつもと違う動きが見つかれば、銀行やカード会社に連絡するとともに、捜査機関に通報するのが望ましい。
いわゆる「フィッシング」目的のサイトにも注意が必要だ。これらのサイトは情報流出についてお知らせするとうたったり、補償にさえ言及する場合もあるが、実態はあなたからさらなるデータを盗んだり、お金をだまし取ろうとする犯罪者が立ち上げている。
詐欺師は電話やメールで直接あなたに接触してくるかもしれない。今は多くの詳しい個人情報で「武装」しているので、犯罪者かどうか見分けるのが難しい恐れもある。もし身元がはっきりしない人物が何か言ってきたなら、情報が流出した企業の窓口を探して、こちらから別途連絡するべきだ。
専門家は、個人のパスワードに関して頻繁に変更し、推測が難しい複雑な文字や記号などの組み合わせを使うよう推奨している。