悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録

2002年12月04日(水) 18時20分

ID窃盗事件:信用調査会社の「信用できない」セキュリティー管理WIRED

 少なくとも3万人の米国人の個人情報を盗んだ容疑で先週起訴された犯人たちは、犯罪の天才ではなかった。

 犯人たちはただ、ずさんなセキュリティー対策につけこんだだけだ。それによって、機密性の高いデータに http://www.hotwired.co.jp/news/news/culture/story/20021127201.html 容易かつ自由にアクセスすることが可能になった(日本語版記事)。

 セキュリティーの専門家たちは、だらしない安全対策が一向に改善されないことを憂慮し、企業がセキュリティーに対して真剣に取り組まなければ http://www.consumer.gov/idtheft ID窃盗は今後さらに増えつづけるだろうと警告している。

 マンハッタンの捜査当局は、ニューヨークを中心とする一連のID不正使用が行なわれていた約3年間に、これまで確認されていた被害に加え、新たに約1万2000人分の信用記録が犯罪者の手に渡っていたことを明らかにした。不正行為が初めて発覚したのは今から8ヵ月前のことだった。

 しかし、被害者および被害者になる可能性のある人々は、連邦検察官が「ずうずうしい」、「 http://www.hotwired.co.jp/news/news/culture/story/20021128201.html ずさん(日本語版記事)」と形容するような犯人を捕まえるのに、当局がなぜこれほど時間を要したのか疑問に思っている。

 消費者は、個人情報を犯罪から守れなかった信用調査会社にも責任があると考えている。

 「信用調査会社の行為はあたかも、私について集めた情報を所有し、好きなように利用できると考えているかのようだ」と語るのは、ニューヨークのグラフィックデザイナー、ニコラス・パスターさん。2年前のID不正使用事件の被害者だ。

 「信用調査会社の失態の後始末をする間、地獄の苦しみを味わった。信用情報に降りかかった災難のせいで、職を失い、大家からも追い出された」とパスターさん。「信用調査会社は、私の情報を外部に流す前に、私に知らせるべきではなかったのか。会社が起こした問題を修復するためにかかる費用を負担すべきではないか」

 ワシントンDCのハービー・ジェイコブズ弁護士は、「今回の事件では、消費者のプライバシーと企業の説明責任が重要な争点になる」と語る。「信用調査会社は、個人情報の開示の方法を見直す必要がある。また、情報が不正に利用された場合は経済的および法的に責任を取らなければならない」

 また、信用調査会社が消費者のセキュリティーに対する懸念から利益を得ているという事実には、利益相反があると見る向きもある。信用調査会社の大手3社はそれぞれ、ID詐欺対策を有料の顧客サービスとして展開している。

 たとえば、米エクスペリアン社の『 http://www.creditexpert.com/creditexpert/creditmanager/012_0_cm_home.jsp クレジット・マネージャー』というサービスは、年間80ドルで、契約者の信用記録を毎日調べ、記録の中に「詐欺の可能性を含む重大な変更」があれば、契約者に警告を送る。 http://www.equifax.com/ 米イクイファックス社や http://www.transunion.com/ 米トランスユニオン社も同様のサービスを提供している。

 昨年ID窃盗の被害を受けたイリノイ州の秘書、ティナ・ビーチョンさんは、「クレジットカード番号を保管しておいて、その情報を保護するために有料サービスを提供するなんて、まるで電子商取引サイトのようだ」と腹立たしげに語る。

 ビーチョンさんは、「書留郵便、公証人、電話代」に約1000ドルを出費したが、詐欺の被害を受けた彼女の信用記録は今後も自分をおびやかすだろうと話す。

 「最初に受けるアドバイスは、信用調査会社の記録に不正利用の警告を書き加えることだ。だがそうすると、すべてのクレジットカード口座が数ヵ月凍結され、その後数年間は http://www.experian.com/ask_max/fraud_identity_theft.html 新しいカードを作るのがとてつもなく難しくなる」とビーチョンさん。

 クレジットカード大手3社は、顧客情報の保護を最大限に考慮しており、諸問題を解決するために可能なことを実行していると述べた。

 エクスペリアン社は、「詐欺被害に遭ったかもしれないと考えた顧客が信用記録を閲覧する際には、課金はしていない」と述べた。

 セキュリティー専門家たちはまた、フィリップ・カミングズ容疑者がヘルプデスクとして勤めていた米テレデータ・コミュニケーションズ(TCI)社も厳しく非難している。カミングズ容疑者は、ニューヨークの一連のID詐欺事件における主犯とされている。この事件では、同容疑者がTCI社の顧客のアクセスコードを他の共犯者2名に売り、その後この2人がアクセスコードを使って顧客のクレジットカード情報を入手した。

 著名ハッカーのケビン・ミトニック氏は、「企業は、外部からの攻撃に備えてネットワークの強化に多くの時間を費やしているが、社内の人間がアクセスできる情報の不正利用については、あまり対策を講じていない」と説明する。ミトニック氏はかつて http://www.hotwired.co.jp/news/news/culture/story/20021007203.html ソーシャル・エンジニアリングと呼ばれる犯罪(日本語版記事)で服役したことで知られ、また、情報セキュリティー企業 http://defensivethinking.com/ 米ディフェンシブ・シンキング社の創立者でもある。

 ミトニック氏は企業に対し、誰がどの情報にアクセスできるのかを明確にし、誰が何を閲覧しているのかを監査するというセキュリティー方針を確立すべきだとアドバイスする。

 ミトニック氏はまた、TCI社が退職したカミングズ容疑者の同社ネットワークへのアクセス権を停止していなかったという報道に驚いたという。

 連邦検察官によると、カミングズ容疑者は退職後も、社員パスワードを使ってTCI社のシステムに約2年にわたりアクセスできたという。同容疑者はまた、TCI社所有のソフトウェアを自身のノートパソコンにコピーしインストールしていた。

 ミトニック氏によると、半年前の時点で、信用調査会社のシステムに容易に利用できる抜け穴が複数見つかっており、悪意のあるネットユーザーや好奇心の強いユーザーが、他人の信用記録を入手できるようになっていたという。

 「昨年出演したラジオ番組の中で、他人が私の社会保障番号やクレジットカード番号を入力しなくても私の信用情報を要求できることがわかった。信用調査会社のシステムの『セキュリティー』は非常に簡単に回避できる。企業はセキュリティーの抜け道を作ることをやめなければならない」とミトニック氏は語った。

[日本語版:友杉方美/高森郁哉]日本語版関連記事

http://www.hotwired.co.jp/news/news/culture/story/20021128201.html ずさんな個人情報管理、ID窃盗事件で露呈

http://www.hotwired.co.jp/news/news/culture/story/20021127201.html 米国史上最大のID窃盗犯、逮捕される

http://www.hotwired.co.jp/news/news/business/story/20020829104.html 顧客情報を流出させたジフ・デイビスが3州と和解

http://www.hotwired.co.jp/news/news/business/story/20020821104.html ロシアにはびこる「個人情報の窃盗」


WIRED NEWSのメール購読申込みは http://www.hotwired.co.jp/reception/index.html こちらへ


(WIRED)

http://headlines.yahoo.co.jp/hl?a=20021204-00000007-wir-sci

この記事に対するコメント/追加情報を見る

ニュース記事一覧に戻る

トップページ