P2Pネットワークへの“うっかり流出”が個人情報窃盗の標的に──セキュリティ専門家が警告
マイクロソフトやイーベイでセキュリティ責任者を務めた経験を持ち、現在は米国NPDグループの調査会社の1つ、R&Hセキュリティ・コンサルティングの社長兼CEOとして企業の情報セキュリティ対策支援を手がけるハワード・シュミット氏は、「われわれがファイル共有ネットワークの利用状況について調査したところ、秘匿すべき機密情報を含むファイルが何千も見つかった」と述べた。
同氏によると、今日のP2Pネットワーク上には、医療記録、金融情報、ルータ・パスワードといった機密情報が多数流出しており、それらのほとんどが、P2Pサービスの利用者が機密情報を含むフォルダまでうっかり共有してしまったことによって流出したものと見られている。「P2Pサービスの利用者のほとんどが、音楽ファイルだけでなく個人的なファイルまで共有してしまっていることに気づいていない」と、シュミット氏は注意を促した。
R&Hセキュリティ・コンサルティングの調査によると、音楽ファイルの不正ダウンロードにP2Pサービスを利用する行為は減りつつあるが、米国では何百万もの家庭でP2Pサービスが利用されているという。
シュミット氏は、「犯罪者たちはP2Pネットワーク上で機密情報を探している。事実、P2P検索の履歴には、××銀行×月分明細、口座要約情報、口座支払い停止、インターネット詐欺、銀行のルーティング情報といった検索文字列が残っている。なかにはサリン・ガスの作り方について検索する不穏な連中もいた」と語る。
ハッカーはすでに、不意にWebサイトに掲載されてしまっている機密情報をグーグルの検索エンジンを利用して見つけ出す「Googleハッキング」という高度な手法を編み出している。一方、P2Pハッキングでは、攻撃者は被害者のデスクトップ上のデータに直接アクセスすることもできる。
「P2Pハッキングを試みる犯罪者は、1時間で準備し、情報を検索しては去っていく」とシュミット氏。同氏は、毎日行われているP2P検索の数はGoogle検索の4倍近いと推計している。
皮肉なことに、個人情報盗難による成り済ましを防ぐために制定された法律が、かえって成り済まし犯罪の増加を助長している可能性もあるという。シュミット氏によると、公正信用報告法(Fair Credit Reporting Act:FCRA)によって、米国の消費者は12カ月ごとにの自分の信用報告を無償で請求できるようになっているが、その一部の情報がP2Pネットワーク上に流出されているという。「P2Pサービス利用者が、デスクトップにダウンロードした信用報告をうっかり共有してしまったために、個人の誕生年月日、クレジットカード番号、住所、配偶者名など、さまざまな個人情報を含む信用報告データを流出してしまうケースが後を絶たない」(シュミット氏)
もう1つの心配の種が医療記録である。シュミット氏をはじめとするセキュリティ研究者たちは、ある医者が患者のカルテ・データをはじめとする97の機密ファイルがP2Pネットワークでうっかり共有されてしまっているケースを見つけたという。「その医者にかかっていた患者の方々は大変気の毒に思う。私が患者ならば、P2Pはもちろん、いかなるネットワークにも、そうした情報は出回ってほしくないと考えるはずだ」とシュミット氏は述べた。
(ロバート・マクミラン/IDG News Service サンフランシスコ支局)
SDForum
http://www.sdforum.org/
提供:Computerworld.jp
