コラム
» 2005年02月18日 08時00分 UPDATE

個人情報保護コラム:個人情報を拾ったら、どうしますか?

個人情報が入ったファイルは、産業スパイのような人間によるものだと考えてはいないか? 実は内部事情に詳しい関係者が、金銭目当てに持ち出していることは多い。しかし、ここに1つ大きな盲点がある。

[ITmedia]

 学校の帰り道に落し物を拾って帰ってきた子供に、母は「落し物を拾ったら、ちゃんと交番に届けなさい」と叱ってくれた。そんな子供が成長し、パパになった。今では、その息子がインターネットからいろいろなモノを拾ってくる。息子が拾ってきたのは、個人情報が入っているファイルだった。

個人情報が見つかる色々なケース

 個人情報が入ったファイルを入手するには、企業のファイアウォールを飛び越え、情報システムにアクセスして、データベースから個人情報を引き出す。または、アプリケーションのセキュリティホールを攻撃して管理者権限を奪い、個人情報を持ち出す。特殊な技能を身に付けた産業スパイのような人間によるものだと先入観を持っている人がいる。しかし、身近に起きた事例をみると、内部事情に詳しい関係者が、金銭目当てに持ち出していることが多い。個人情報漏えいを防止するには、従業員、派遣社員、アルバイトなど、人の管理が肝心といわれるゆえんである。

 しかし、ここに1つ大きな盲点がある。これらの個人情報は、厳密に管理されていることが前提となっている点だ。厳密に管理されていない個人情報の一部は、インターネット上に流出している。むしろ、そうした個人情報にも目を光らせておくことが大切だ。なぜなら、セキュリティに詳しくない人でも、コツさえ押さえれば、簡単に個人情報は入手できるからだ。その代表的な方法として、「Googleハッキング」と呼ばれる手法がある。

Googleハッキングとは?

 検索サイトを悪用して目的となる情報を探し出す方法を、検索サイトで有名なGoogleの名前をとって、Googleハッキングと呼ばれている。この手法を使うと、情報システムに関するセキュリティ知識を持たなくても、簡単に個人情報を発見できる。例えば、次のような手順で見つけ出すことができる。

 まず、検索サイトのホームページをブラウザで開く。検索項目に都市名を入力する。「武蔵野市」と入力して検索してみる。検索結果には、武蔵野市という言葉が含まれるホームページが何十万件あることがわかる。続いて検索の絞込みで、名前(「二郎」とか「生朗」)として入力し、検索する。すると、数千件に絞り込むことができる。さらに、個人情報が格納されるファイル可能性がある拡張子「cvs」とか「xls」で再び絞り込んで検索を行う。

 検索結果には、個人情報が格納されたファイルが表示される。つまり、インターネット上に存在する膨大な情報から、個人情報に相当するファイルを探し出すことができる。これが個人情報を探し出す時に用いるグーグル・ハッキングの基本テクニックある。ちなみに応用テクニックは本にまとめて販売されている。

 検索サイトは誰でも利用できるように作られており、情報セキュリティについての専門的な知識は必要ない。コツさえつかめば、子供でも個人情報を入手することができる。もちろん、検索サイトを利用して個人情報を入手しているので、不正アクセス禁止法には該当しない。インターネット上に転がっている個人情報は、このような形で簡単に拾うことができるのである。

犯人は検索ロボット

 検索サイトは、個人情報を専門に集めているわけではない。しかし個人情報が表示されてしまうのは、検索サイトの収集方法による。幾つかの検索サイトでは、インターネット上にあるコンテンツの収集に、検索ロボットを使っている。何らかの目的を代理として実行するプログラムなので、エージェント・プログラムと呼ばれることもある。この検索ロボットは、決められた通り情報を集めてくるが、それを個人情報として認識しているわけではない。そうして収集された膨大な情報は、検索サイトで素早く表示できるように加工される。その過程でも、個人情報の区別は行われない。その結果、検索サイトで個人情報を探し出せるのである。

拾った個人情報の価値

 残念ながら、インターネット上に公開されているホームページから入手した個人情報の多くは、利用価値が低い。犯罪歴、宗教、所有する不動産のように、センシティブと呼ばれる個人情報は置かれていない。つまり、個人情報を集めることはできても、それで大儲けすることはできない。試しに自分の名前を使って検索してみるとよく分かる。ここから得られる教訓は、自社のサイトからこのような形で個人情報が漏れないように、適切な対策を行うことだろう。そして、仕事で取り扱っている個人情報の重要性を自覚させることも必要だ。

 個人情報を見つけてきた息子は、母に叱られていた。その姿を眺めながら、昔の自分を思い出し、検索ロボットの存在をしらない母親に同情した。息子が父になった頃、孫は何を拾ってくるのだろうか。そのころには検索ロボットを叱るママ・ロボットが登場しているのかもしれない。

佐藤隆プロフィール

セキュリティコンサルタント。セキュリティ監査、ペネトレーションテスト、情報セキュリティ教育などの情報セキュリティ業務に従事し、大学では非常勤講師を務める。BS7799オーディター、ISMS審査員資格を所有している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ