クレジットカード会社が集めた個人情報が信用情報機関やブローカーを通じて犯罪者に拡散されてしまっているとの指摘
顧客がクレジットカード会社に登録した情報は、信用情報機関を通じて集められ、支払い能力などを確かめるのに用いられます。こうした情報の流通についてアメリカのニュースメディアである404 Mediaが調査したところ、この種の個人情報は犯罪者の格好の餌食となっており、情報によっては1つ数千円という安値で販売されていることが判明しました。
The Secret Weapon Hackers Can Use to Dox Nearly Anyone in America for $15
https://www.404media.co/the-secret-weapon-hackers-can-use-to-dox-nearly-anyone-in-america-for-15-tlo-usinfosearch-transunion/
404 Mediaのジョセフ・コックス氏がメッセージングアプリのTelegramを通じて犯罪者のコミュニティに参加した時の記録によると、個人情報を知りたいターゲットに関するほんのわずかな情報、例えば氏名と住んでいると思われる州の名前をボットに伝えるだけで、ターゲットに関する名前や電話番号、社会保障番号、住所履歴、家族の氏名や生年月日までありとあらゆる情報を手に入れることができたとのこと。こうしたデータはすべてビットコインで販売されており、おおよそ15ドル(約2200円)から40ドル(約5800円)の価格で取り扱われていたそうです。
こうした情報は、特殊部隊を無実の人の家に送りつける「スワッティング」や、SIMカードを乗っ取る「SIMスワッピング」、単純に個人の家に赴き暴力等の犯罪行為をするなど、さまざまな用途に使われているとのことです。コックス氏が確認したボットは非常に強力で、機密データを入手するために高度な技術はほとんど必要なく、ユーザーが情報の流出を防ぐことは困難だといいます。
こうした個人情報は、すべてクレジットカード会社から漏れ出ていると404 Mediaは指摘しています。
連邦準備制度理事会(FRB)のデータによると、2022年時点でアメリカ人の成人のうち82%がクレジットカードを所持しています。誰かがクレジットカードを申し込むと、クレジットカード会社や金融機関は顧客の個人情報を3大信用情報機関であるExperian、Equifax、TransUnionに転送します。これは各機関が利用者の信用情報を確認し、身元確認を行うことで詐欺を防ぐなどの目的のために行われるものですが、言い換えれば、成人人口の大半はこれらの信用情報機関に個人情報を収集され、保存されるということになります。
しかし、一部の信用情報機関はこのようなデータを他の企業が利用できるようにしています。カードの使用履歴などを記した信用報告書は「公正信用報告法(FCRA)」という法律に基づき用途が限定されていますが、氏名や生年月日、現住所、以前の住所、社会保障番号、電話番号といった基本情報は当該法による制限を受けません。
信用情報機関やデータブローカーは、こうした基本情報は銀行業・証券業・保険業の統合を許可した「グラム・リーチ・ブライリー法」に該当するという姿勢を貫き、この法律では規制されない「第三者への情報販売」を行っているとコックス氏は指摘。基本情報の販売先は私立探偵事務所や不動産業界など多岐にわたり、情報がブローカーを通じて各所にばらまかれる道筋のどこかで、犯罪者が付けいる隙が生まれているとのことです。
犯罪者のデータ入手経路は時間の経過と共に変化しているようで、一時期はTransUnionが管理するデータ分析ツール・TLOxpが悪用されていたこともありました。法執行機関が使うこともあるこのツールは犯罪者に悪用されると強力な個人情報検索ツールとなり得るとのことですが、404 Mediaの取材に対しTransUnionは悪用の事実を認め、「様々な安全策と保護策を導入しており、ごくまれに悪用が確認された場合には、法執行機関と連携している」と答えるにとどめています。
404 Mediaは「一般の消費者にとって、信用情報機関に第三者へのデータ売却を止めさせるのは非常に困難であり、またデータを完全に削除させるのはおそらく不可能です」と指摘。同時に個人情報保護キャンペーンを行う人々の言葉としてジュリー・マオ弁護士の言葉を引用し「解決策は信用情報機関からの情報の流れを止めることで、この情報がそもそも売買されていることが根本的な問題です。消費者がプライバシーを保護するための選択肢が用意されていない場合、代わりに政府機関が保護することが重要です」と記しました。マオ氏は、基本情報をFCRAに含められれば販売を制限できると考えています。
404 Mediaの調査報告を確認したロン・ワイデン上院議員は「政府は、企業が個人情報を販売するのを止める必要があります。国家安全保障やアメリカ人の安全よりも利益を優先させた企業幹部は、相応の罰を受けるべきです」と答えたとのことです。
・関連記事
LastPass親会社が不正アクセスで顧客データの一部を盗み出されていたことを認める - GIGAZINE
AWSへのハッキングで1億人以上の個人情報を盗んだ元AWSエンジニアに有罪判決 - GIGAZINE
音声SNS「Clubhouse」から130万件の個人情報が漏えいしたとの報道、ClubhouseのCEOは「元から公開されているデータ」と報道を否定 - GIGAZINE
数百万件もの個人情報が政府機関や企業から流出、ファイル転送サービスの脆弱性に原因 - GIGAZINE
・関連コンテンツ