日本人の個人情報2億件、中国の闇サイトで販売か：たったの1万7000円

[濱口翔太郎，ITmedia]

　中国のアンダーグラウンド・フォーラム（反社会的なWeb掲示板）で、2億件以上の日本人の個人情報が取引されていた――セキュリティ企業のファイア・アイは5月17日、こんな調査結果を明らかにした。

　同社は2017年12月ごろ、中国の悪質な掲示板サイトに「日本人の個人情報を収録したデータセットを販売する」との広告が掲載されているのを発見。複数の人間が関心を示すコメントを残していたという。

　データセットに含まれていたのは、一般人の氏名、メールアドレス、各種認証情報（ID・パスワード）、生年月日、電話番号、住所など。こうした情報が2億件以上含まれたデータセットは、1000人民元（1万7000円）程度で取引されていた。

取引されていた情報の一部（一部加工しています）

EC、アダルトサイトから流出

　データセットの各フォルダには、情報源とされる日本の企業名や、「16年5〜6月」「13年5月・7月」など、取得した時期も記されていたという。

　しかし調査によって、偽のメールアドレスやデータの重複も一定数みられることが判明。正確な個人情報の数は2億件に満たないとみられている。掲示板には「データが送られてこない」「期待した商品ではなかった」と出品者を批判する投稿も多数あったという

　ファイア・アイは具体的な企業名を伏せたが、流出元として日本の食品EC（インターネット通販）サイト、アダルトサイト、ゲーム関連サイトなどを挙げた。過去の大規模情報漏えい事件で流出したデータも大量に含まれていたという。

流出の経緯（＝ファイア・アイ調べ）

犯人は1〜3人か

　同社は広告に記載されていた「QQ」（中国ネット大手Tencentのメッセージアプリ）のアドレスも分析しており、データセットの出品者をほぼ特定している。

　犯人は13年9月ごろから中国の掲示板で個人情報の売買に手を染めている人物で、日本以外にも中国、台湾、香港、欧州諸国、北米諸国など多様な国の個人情報を販売しているという。この人物以外にも、さらに2人の関与が疑われているとのこと。

　現在は、問題の広告は取り下げられているという。ファイア・アイは「流出した個人情報は過去のものが多く、大規模な攻撃が行われることはないと予想する。だが、当時のID・パスワードを再利用している企業や個人は、迷惑メール、マルウェア、詐欺などの対象になる可能性がある」と指摘している。

ファイア・アイの公式Webサイト