IT事件簿 日本最大の個人情報漏えい事件をひも解く：“迷探偵”ハギーのテクノロジー裏話

2004年に発生した「Yahoo! BB」での個人情報漏えい事件は、日本最大規模として記憶されている人も多いだろう。当時の事件ではすぐに被疑者が特定されたが、なぜなのか。

[萩原栄幸，ITmedia]

　今回はIT事件簿の2回目として、日本最大（国内事件という意味であり、世界的にはもっと被害件数が多い事件がある）の個人情報漏えい事件となった2004年の「Yahoo! BB」における情報漏えいとその頃の話題をひも解いてみたい。

---

　2004年2月27日、Yahoo! BB利用者の大量の名簿情報が漏えいしていたことが発覚した。その数は発表当初242件であったが、その後に470万件、450万人と数字が変わっていった。国内では最大規模の情報漏えい事件として記憶されている読者もいるだろう。被害者に500円分の金券で支払われて収束していった（一部の利用者は損害賠償訴訟を起こして1人6000円という賠償金判決を得た）。この事件は、その他の類似の情報漏えい事件と異なる点があり、被疑者は始めから「脅迫」を目的に情報を盗んでいた。

　この事件について、2004年に日本弁護士連合会に設置されている「コンピュータ委員会」の場で、その詳細が発表されている。当然ながら、事件の担当弁護士がその解説を行うことは法律で禁止されているため、その友人の弁護士が解説している。筆者はその当時に関係者の方を協力していた（余談だが、筆者はコンピュータソフトウェア著作権協会に対する不正アクセスで個人情報が漏えいした、いわゆる「office事件」の事故調査委員としても活動していたため、Yahoo! BB事件やoffice事件の担当弁護士の方々を支援していた）。

　まずこの事件での漏えい人数だが、WikiPediaでは最終更新での数字が450万件となっているものの、コンピュータ委員会の発表では660万件と指摘された。また、この事件は偶然にも全く別のルートから発生した2つの脅迫事件が絡み合ったものであったことも判明した。

被疑者が見逃したメタデータ

　2つの脅迫事件のうち1つはソフトバンク代理店の役員が被疑者であったという。この人物は孫正義氏にメールで脅迫状を送ったという。自分の会社のOA端末で脅迫文書をWordで作成していた。それが被疑者特定の決め手になった。

　筆者は2004年以前から学会や金融機関向けセミナーなどを通じて、ある苦情をMicrosoftにお伝えしていた。学会の論文としても公開しているのだが、当時はMicrosoftの主力製品の1つである「Office」のメタデータに関する技術がほとんど公開されていなかった。筆者がWordに初めて触れたのはWindows 3.1のことで、この便利な文書作成ソフトのファイルサイズが極めて大きいことに疑問を感じていた。

　例えば、テキストで「A」と入力してメモ帳で保存し、DOSコマンドで内容をみると、データのサイズは「1バイト」となる。しかし、Wordで作成するとそれは数十キロバイト、つまり、何万倍にも膨れてしまうのだ。当時の技術資料は一部しか紹介されていなかったので調べてみると、そこには「コンピュータ名」や以前の文書内容、変更履歴といった情報が「てんこ盛り」に入っていた。立場によっては「おいしい情報」であり、別の立場では「まずい情報」だ。

　これらを格納したファイルを外部に送付できてしまうことは、情報セキュリティの観点からいかがなものかを思っていたが、案の定、米国で情報漏えい事故が多発した。あるメーカーでは取引先によって違う条件を通知していたことがメタデータの解析から分かり、訴訟に発展したケースもある。国家間でも国会議員同士の裏のやり取りがメタデータで発覚して、泥仕合になったこともあった。しかし、当時の日本ではそこまでする人はほとんどいなかった。

　その後、米国ではOffice文書をメールに添付する際にはメタデータをクリアするという企業が出てきた。このメタデータのレイアウトはOfficeのバージョンによってバラバラだったので、企業が自らプログラミングしてバージョンに合わせたクリア方法を取っていたこともある。筆者はMicrosoftに、情報公開やメタデータの形式を定めるか、メタデータ消去用ツールを配布してほしいと要望していたのであった（現在ではこれに近い状況になった）。

　話が長くなったが、これによってすぐに検挙へとつながったのである。もし被疑者が脅迫状に自分の名前が署名されることに気が付いていたら、別の方法で脅迫状を送っていたに違いない。ある弁護士は、「もし被疑者が萩原さんの問題提起を知っていたら、事件の解明に相当な時間がかかったでしょう」と言われたのである。

　この事件が発覚からあっという間に終息した背景には、こういう事実があった。もし被疑者が身元をうまく隠していたなら、解決にかなりの時間を要しただろうというのが関係者の見方である。ところがその役員と共犯者は、自社の端末で脅迫文を作成してしまった。社名やユニークな「コンピュータ名」、社員番号や氏名までもがメタデータとして取り込まれていた可能性があることも知らずに、である。このシンポジウムの翌年、主犯格には懲役4年という実刑判決が下った。

その他の事実

　この事件について、本稿でその他にお伝えできる事実としては次のものがあった。今では考えられないかもしれないが、2004年当時は、こうした運用がなされていてもまだ良かった方である。

1. アクセスログを1週間しか保存していなかった
2. アクセスログから犯人を特定できなかった
3. 多数の派遣社員が同一のID、パスワードでデータにアクセス可能だった（新聞ではアクセス権が132人にあったというが、裁判の中でもっと多くの派遣社員にアクセス権があったという）
4. たまたま犯人が特定できたが、犯人が慎重ならば特定はできなかった可能性が高い

　日本ネットワークセキュリティ協会の調査によれば、現在では1人当たりの情報漏えいの平均損害額は4万円を超える。2004年のこの事件でも軽く企業としての実損は100億円を超えたというから驚きである。

　既にあれから8年が経った。事件の進展はあっという間だったが、とても興味深い事件であった。その後、筆者の友人が社長を務める会社が主体となって改善をどんどんと行われていった。今では少なくともその物理的な面の対策はかなりのレベルになっているはずだ。ただし、どんな環境でも油断は禁物である。その対策を生かすのも殺すのも運用している人間様次第だからだ。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。