プリント用表示 | ブログに書く by kwout |

コラム
2005/02/18 08:00 更新

個人情報保護コラム:
個人情報を拾ったら、どうしますか?

個人情報が入ったファイルは、産業スパイのような人間によるものだと考えてはいないか? 実は内部事情に詳しい関係者が、金銭目当てに持ち出していることは多い。しかし、ここに1つ大きな盲点がある。

 学校の帰り道に落し物を拾って帰ってきた子供に、母は「落し物を拾ったら、ちゃんと交番に届けなさい」と叱ってくれた。そんな子供が成長し、パパになった。今では、その息子がインターネットからいろいろなモノを拾ってくる。息子が拾ってきたのは、個人情報が入っているファイルだった。

個人情報が見つかる色々なケース

 個人情報が入ったファイルを入手するには、企業のファイアウォールを飛び越え、情報システムにアクセスして、データベースから個人情報を引き出す。または、アプリケーションのセキュリティホールを攻撃して管理者権限を奪い、個人情報を持ち出す。特殊な技能を身に付けた産業スパイのような人間によるものだと先入観を持っている人がいる。しかし、身近に起きた事例をみると、内部事情に詳しい関係者が、金銭目当てに持ち出していることが多い。個人情報漏えいを防止するには、従業員、派遣社員、アルバイトなど、人の管理が肝心といわれるゆえんである。

 しかし、ここに1つ大きな盲点がある。これらの個人情報は、厳密に管理されていることが前提となっている点だ。厳密に管理されていない個人情報の一部は、インターネット上に流出している。むしろ、そうした個人情報にも目を光らせておくことが大切だ。なぜなら、セキュリティに詳しくない人でも、コツさえ押さえれば、簡単に個人情報は入手できるからだ。その代表的な方法として、「Googleハッキング」と呼ばれる手法がある。

Googleハッキングとは?

 検索サイトを悪用して目的となる情報を探し出す方法を、検索サイトで有名なGoogleの名前をとって、Googleハッキングと呼ばれている。この手法を使うと、情報システムに関するセキュリティ知識を持たなくても、簡単に個人情報を発見できる。例えば、次のような手順で見つけ出すことができる。

 まず、検索サイトのホームページをブラウザで開く。検索項目に都市名を入力する。「武蔵野市」と入力して検索してみる。検索結果には、武蔵野市という言葉が含まれるホームページが何十万件あることがわかる。続いて検索の絞込みで、名前(「二郎」とか「生朗」)として入力し、検索する。すると、数千件に絞り込むことができる。さらに、個人情報が格納されるファイル可能性がある拡張子「cvs」とか「xls」で再び絞り込んで検索を行う。

 検索結果には、個人情報が格納されたファイルが表示される。つまり、インターネット上に存在する膨大な情報から、個人情報に相当するファイルを探し出すことができる。これが個人情報を探し出す時に用いるグーグル・ハッキングの基本テクニックある。ちなみに応用テクニックは本にまとめて販売されている。

 検索サイトは誰でも利用できるように作られており、情報セキュリティについての専門的な知識は必要ない。コツさえつかめば、子供でも個人情報を入手することができる。もちろん、検索サイトを利用して個人情報を入手しているので、不正アクセス禁止法には該当しない。インターネット上に転がっている個人情報は、このような形で簡単に拾うことができるのである。

犯人は検索ロボット

 検索サイトは、個人情報を専門に集めているわけではない。しかし個人情報が表示されてしまうのは、検索サイトの収集方法による。幾つかの検索サイトでは、インターネット上にあるコンテンツの収集に、検索ロボットを使っている。何らかの目的を代理として実行するプログラムなので、エージェント・プログラムと呼ばれることもある。この検索ロボットは、決められた通り情報を集めてくるが、それを個人情報として認識しているわけではない。そうして収集された膨大な情報は、検索サイトで素早く表示できるように加工される。その過程でも、個人情報の区別は行われない。その結果、検索サイトで個人情報を探し出せるのである。

拾った個人情報の価値

 残念ながら、インターネット上に公開されているホームページから入手した個人情報の多くは、利用価値が低い。犯罪歴、宗教、所有する不動産のように、センシティブと呼ばれる個人情報は置かれていない。つまり、個人情報を集めることはできても、それで大儲けすることはできない。試しに自分の名前を使って検索してみるとよく分かる。ここから得られる教訓は、自社のサイトからこのような形で個人情報が漏れないように、適切な対策を行うことだろう。そして、仕事で取り扱っている個人情報の重要性を自覚させることも必要だ。

 個人情報を見つけてきた息子は、母に叱られていた。その姿を眺めながら、昔の自分を思い出し、検索ロボットの存在をしらない母親に同情した。息子が父になった頃、孫は何を拾ってくるのだろうか。そのころには検索ロボットを叱るママ・ロボットが登場しているのかもしれない。

佐藤隆プロフィール
セキュリティコンサルタント。セキュリティ監査、ペネトレーションテスト、情報セキュリティ教育などの情報セキュリティ業務に従事し、大学では非常勤講師を務める。BS7799オーディター、ISMS審査員資格を所有している。

関連記事

[ITmedia]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.




PR
PR

キャリアアップ



オンライン・ムックPlus

エンタープライズ・ピックアップ

news004.jpg 世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
2010年以降、クラウドサービスの利用がさらに加速する。サービスを利用する企業はプロバイダーのデータセンターに預けた自社情報を保護するために、法的な要素を理解しておかなければならない。企業が注意を払うべき法的な検討事項を整理する。

news001.jpg IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
マイクロソフトが掲げるプロモーションメッセージ「社員にチカラを。ITで企業力を。(以下、BIEB)」からは、ITで社員の生産性を向上することが業績の拡大につながる、といったニュアンスを感じる。そこで気になるのが「じゃあ、マイクロソフトの社員自身はどうなのよ?」ということ。3人の現役MS社員により実態が明らかになる……?

news010.jpg 産業構造を変えるか:「住宅クラウド」の衝撃
住宅都市工学研究所が進める「住宅クラウド」は、クラウドが企業のIT領域にとどまらず、ビジネスのやり方自体を変える可能性を示している。

news010.jpg オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
SE出身の企業広報マンでありながら、趣味は落語で憧れの人はインディ・ジョーンズとアナログ全開の栗原さんに、ブログを書く理由やネットからはじまるコミュニケーションについて伺った。

news001.jpg 最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター
プログラミングにおける重要な概念である「探索」を最速でマスターするために、今回は少し応用となる探索手法などを紹介しながら、その実践力を育成します。問題をグラフとして表現し、効率よく探索する方法をぜひ日常に生かしてみましょう。


利用規約 | プライバシーポリシー | 広告案内 | サイトマップ | お問い合わせ
運営会社 | 採用情報 | IR情報

ITmediaITmedia NewsプロモバITmedia エンタープライズITmedia エグゼクティブTechTargetジャパン
+D+D LifeStyle+D PC USER+D Mobile+D ShoppingGamezOneTopi
@IT@IT情報マネジメント@IT MONOist@IT自分戦略研究所JOB@IT
Business Media 誠誠 Biz.IDEE Times環境メディアBARKSzoome