日経BPの報道[1]によると、韓国でまたも大量の個人情報流出が起きたようである。以前から何度も起きているのだが、今回は金融信用等級まで漏れたらしい。
個人情報とか、カード情報の流出というと、振り込め詐欺に使われたり、カードの不正使用をされたりという、どちらかと言うと「安全(セキュリティ)」側の話が主だが、今回は金融信用等級まで漏れたということで、単なる個人情報の漏洩というところから、より内面に近いところ、よりプライバシーインパクトが大きい事件だと言えるだろう。
漏れた経緯だが、外部からのハッキングではなく、クレジットカード3社が使用する不正使用検知システムの構築を担当したセキュリティ会社の社員が、2012年10月から2013年12月まで1年以上にわたって顧客の個人情報を盗み、名簿屋に売却したらしい。売却価格は、100万人当たり6000万ウォン(約588万円)らしい。名簿屋はこれを転売するのだが、こちらはというと、氏名、住民登録番号、クレジットカード番号、使用期限、暗証番号がセットになったものが、一人あたり15,000ウォン(約1470円)位らしいとのことだ。簡単に買えるとのこと。
盗みだした手口
盗みだした手口は簡単だ。この社員はシステムを開発するふりをして顧客の個人情報のデータベースにアクセスし、自分のUSBメモリーに個人情報をコピーして持ち出したのだという。これはいくつかの問題をはらんでいる。
データアクセスの最小化ができていない(Violation of Data Minimization principle)
この社員のタスクは、不正使用検知システムの「構築」である。したがって、個人データベースにアクセスが出来る必要は全くない。今回の事件では、三社ともこのような観点でのアクセス管理システムを持っていなかったということであろう。これは、ISO/IEC 29100 の第4原則「データアクセスの最小化(Data Minimization)」が守られていないということだ。
これに対する対策は幾つもある。まず、なぜ開発者が本番環境にアクセスしているのかという問題が有る。開発者とデプロイする人、運用する人はそれぞれ分けなければコントロールが効きにくくなる。
次に、上記でも触れたアクセスコントロールである。これには2つある。一つ目は、アクセスする人間のIdentityを管理し、ポリシーベースでアクセス制限をかけるという、基本的なアイデンティティ&アクセス管理(IAM)である。これがあるだけでも、今回の事件は防げた。
次に、データの暗号化だ。これは、今回の問題には直接関係ないが、バックアップオペレーターなどが平文データに触らないようにする必要がある。そのためには、少なくともバックアップ用のデータは暗号化する必要がある。
なお、USBに書き込むことができたというのも問題だが、実際には上記のコントロールが効いていれば良かっただけなので、高価としては二次的と言えよう。
監視が効いていない
本件は、1年にわたってデータへの不正アクセスが続いていた。しかし、各社ともその期間検出することができなかった。これは、監視が効いていないということだ。ただまぁ、今回に関して言うと、まさに不正使用検知システムを構築しようとしていたわけだから、ややしょうがない点もあるかもしれない。
人的リソースセキュリティの欠如
ISO/IEC 27001のAnnex AのA.7では人的リソースセキュリティの要件が提示されている。特に今回で言うと、A.7.2.3 Disciplinary process がうまく機能していなかったと言えそうだ。今回のようなことをやっていればいずれ見つかる。その時点で罰を受けるわけだが、その罰の期待値が犯罪の利得の期待値よりも低いと、犯罪を犯すほうが得になってしまうので、起きるべくして起こる。罰には刑事罰と、民事的な罰があるわけだが、この記事ではどのくらいのものが設定されていたのかわからない。ただ、いずれにせよ、犯罪の利得のほうが高いと考えられたのだろう。賃金や雇用契約がどうなっていたのか、興味があるところだ。
ちなみに、銀行が好待遇で行員を雇うのは、それによって 解雇による生涯賃金現象額の期待値を、犯罪の利得の期待値よりも大きくするための側面が有る。システムエンジニアについても、そのようなことを考慮することが有ると思われる。
もう一つの可能性としては、最初からこの犯罪を狙って入り込んだというものが有る。この場合は、やはりISO/IEC 27001のA.7.1が効いていないということになる。
今後の展開
記事によると、今回の事件を受けて、いくつかのことが実施されている。
金融委員会「金融会社顧客情報流出再発防止対策」の策定
- 個人情報を流出させた金融機関には、最大50億ウォン(約4億7000万円)の課徴金を課すとともに、最大3カ月の営業停止処分
- 不法に流出した個人情報を営業に利用した金融機関には売上高の1%を懲罰的課徴金として課す
- 顧客の個人情報を系列会社内で共有することも制限
金融監督院「個人情報の不法流通・不法活用遮断処置」
- 金融当局(金融監督院と金融委員会)と検察・警察が合同での名簿屋の無期限集中取締実施
- 摘発したブローカーを5年以下の懲役または5000万ウォン(約490万円)以下の罰金
- 金融監督院内に不法個人情報流通届出センターを設置して、不法に取得した個人情報を売買する人や取引現場を届け出て捜査に協力した人に報奨金として最高1000万ウォン(約98万円)を支給することを検討
これがどのくらいの実質的な影響を持つかは未知数だ。今後の推移を見守りたい。
[1] http://business.nikkeibp.co.jp/article/world/20140128/258929/?P=1
@_Nat Zoneをもっと見る
購読すると最新の投稿がメールで送信されます。