Appleが増大する個人情報への脅威を警告 セキュリティに関する最新報告書を公開（1/2 ページ）

[林信行，ITmedia]

　2023年6月、セキュアな大容量ファイル転送サービスとして人気の高い米Progress Softwareが開発した「MOVEit」の脆弱（ぜいじゃく）性が明るみに出ると、ロシアのサイバーギャング「Cl0p」（クロップ）の攻撃により英BBC、英British Airways、Ernst ＆ Youngさらには米国エネルギー省を含む2300以上の組織がマルウェアに侵入され、65万人以上分の個人情報が盗まれるという事件があった。

6月21日（現地時間）に公開された米Progress Softwareの告知

データ侵害の件数は10年で3倍　過去2年で26億件

　こうしたデータ侵害は、決して対岸の火事ではない。日本でも個人情報を安全に取り扱っている事業者に「プライバシーマーク（Pマーク）」の使用を認める日本情報経済社会推進協会（JIPDEC）から、契約する審査員669人の氏名や住所、電話番号などの個人情報が漏えいした可能性があるという事件が起きた。

　また、トヨタ自動車の顧客情報が、設定の間違いによって10年以上に渡って閲覧可能状態になっていたことが判明するなど、個人情報漏えいリスクのニュースは後を絶たない。

　「データ侵害の件数は2013年から2022年にかけて3倍以上に増加し、過去2年間だけで26億件の個人記録が脅威にさらされた」とするのは、Appleが委託して作成されたマサチューセッツ工科大学（MIT）教授のスチュアート・マドニック博士による独自調査データだ。

　現在、AppleのWebサイトで「The Continued Threat to Personal Data：Key Factors Behind the 2023 Increase」（個人情報への脅威が継続：2023年の増加の主な要因）と題された報告書が公開されている（Appleは同様の報告書を毎年制作している）。

Appleの委託で、マサチューセッツ工科大学教授スチュアート・マドニック（Stuart Madnick）博士が作成した報告書。今年は「The Continued Threat to Personal Data：Key Factors Behind the 2023 Increase」（個人データへの脅威が継続：2023年の増加の主な要因）というタイトルになった。2022年は「The Rising Threat to Consumer Data in the Cloud」（クラウドの消費者データへの脅威が増大）だった

現代社会での暮らしを脅かすデータ侵害

　報告書は近年、データ侵害の件数とその影響がかつてない速度で拡大していることを明らかにしている。特に2023年に入ってから、データ侵害の増加は目を見張るものがある。

　米国だけ見ても、2023年の最初の9カ月間でのデータ侵害は、2022年の全体と比較して約20％増加した。これは、私たちの生活がよりデジタル化されるにつれ、データ漏えいのリスクも増大していることを示している。

　また、ランサムウェア攻撃の増加も、この悪化する状況の一因だ。2023年の最初の3四半期で、ランサムウェア攻撃は前年同期比で70ポイントも増加しており、私たちのデジタルセキュリティを脅かしている。

報告書には、驚くべき数値が並んでいる。一例を挙げると、2021〜2022年に漏えいした個人データは26億件、2013年から2022年の間に漏えいしたデータは3倍に、2023年の最初の9カ月だけで米国での個人情報漏えいは前年通期より20％増したという

　冒頭で紹介したMOVEitによる情報漏えいも大きな事件だったが、遺伝子検査会社23andMeが10月に発表した300TB分の情報漏えいも深刻だ。遺伝情報は非常に個人的なデータであり、この情報を元に匿名性の喪失や遺伝的特徴に基づく差別や偏見のリスクが生じる可能性もある。また、流出した遺伝情報が保険会社や雇用主の手に渡ると、保険加入の拒否や職場での不利益を招く恐れもある。

　日本では2023年の前半に流出した個人情報で作成された名簿を使って闇バイトを雇って「タタキ」と呼ばれる強盗行為を行った事件が頻発し大きな問題となった。

　今後、デジタル化が進む世の中で、セキュリティ対策の強化とデータ保護の意識向上が急務だ。とはいえ、ユーザー意識はそんなにすぐには変わるものではない。そのような中で最近、IT業界全体に最悪の事態を避けるための技術が徐々に広がりつつある。

　Appleが12年以上前から採用している「エンドツーエンド暗号化」（End-to-end encryption：E2EE）という技術だ。

2023年6月のMOVEitの情報漏えいでは、最終的に2300以上の企業から情報が漏えいし、6500万人が被害を受けた。漏えい情報は電子メール／テキストメッセージ／クレジットカード情報／免許証情報／位置情報／医療情報／連絡先情報／写真／生体認証データなど多岐に渡る

現状、最も有効なのはエンドツーエンド暗号化

　「企業は収集するデータ量を見直し、特に暗号化されていない消費者データの保持量を制限する必要がある。2022年、テクノロジー・プラットフォームやその他の業界関係者が、エンドツーエンド暗号化の利用を拡大したのもそのためである」

　報告書は巻末でエンドツーエンド暗号化の重要性を説いている。エンドツーエンド暗号化（端から端までの暗号化といった意味）は、データが送信される際に暗号化され、受信者だけがそれを解読できる技術を指す。途中で第三者がデータを傍受しても、内容を読み取ることができない。

　どんなにしっかりとセキュリティ対策を講じたところで、完璧なセキュリティというものはない。ランサムウェア攻撃などの多くでは、犯罪者たちは身代金を支払った後、人質にしていたデータを企業に返還はするものの、その後、人質にしていた間にのぞいた情報を元にゆすりをかけたり、データを第三者に売ったりといった行為が行われることも少なくない。

　しかし、エンドツーエンド暗号化が行われていれば、例えデータを犯罪者に盗まれたとしても、中身が暗号化されており、作成者の端末を使わなければ中身を除くことができないので、二次的なゆすりの被害やデータがダークWebに販売されるといった被害を未然に防ぐことができる。

MOVEitなどの事件では、1社（MOVEit）の被害を入り口にして、そこからサービスを利用する他の企業も次々と裏口を開けられる形で被害が拡大していった

　こうしたエンドツーエンド暗号化を、Appleha2011年にiMessageで採用した。その後、2014年に登場したアプリ「Signal」で採用されるなど徐々に他社にも広がっていき、Googleもexpanded client-side encryption（CSE）という技術を提供。Meta傘下のサービスではWhatsAppが当初から対応していた他、MessengerやInstagram Chatが2023年中にエンドツーエンド暗号化されることなども報告書で紹介されている。