サイバー空間における無犯罪証明の不可能性 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.06.26(月)

サイバー空間における無犯罪証明の不可能性

特集 コラム

●ほとんどのデータは出所を特定できない

個人情報が流出したという騒ぎを耳にするたびに不思議に思うことがある。

「その個人情報がそこから漏れたことがどうしてわかるのか?」

ほとんどの場合は特定のサービスに登録された個人情報なので、そのサービスのIDやパスワードとともに漏れる。それがそのサービスから漏れた証拠になる。

もうひとつは侵入された形跡があることだ。被害サイトに痕跡があり、その後、外部でデータが流出しているが確認できればそれは盗み出されたデータということになる。

しかしよく考えると、これはあくまでも状況証拠でしかない。データというものは、本来コピーできるものであり、必要に応じてその形式を変換できるものだ。唯一無二の存在ではないのである。

物理的に存在するものであれば、直接証明することが可能だ。世界にたったひとつしか存在しない物なら本来の持ち主の元から消え、他の人間が持っていれば盗まれた事実があるはずと言っていいだろう。物自体はいくらでも存在するが、傷や指紋など後から付加されたもので特定できることもある。

しかしデータにはそれがない。もちろん技術的に複製不可にして特定できるようにすることも可能だが、個人情報などは元の形式と異なる形式であっても内容が同じであれば同じものと考えがちだ。そもそもリアルタイムで更新される個人情報にそのような技術を適用していることはまずない。

2つの個人情報があった場合、それが同じ場所で保管されていたものかどうかを直接証明することは不可能と言っていいだろう。保管場所に盗まれた痕跡が残っていても、同じ箇所に同じ間違いがあったとしても、それはしょせん状況証拠ではない。犯人の指紋がついているのとは全く違う。

なぜ、データの出所にこだわるかというと、「サイバー空間における無犯罪証明は不可能」ということにつながるからである。

ECサイトの会員情報を持った人間が現れ、「これはあなたのサイトから流出したものです」と言った場合、それを否定することができない。侵入された痕跡がないとか、男の持っているデータは一部でしかないとか、いろいろ男の主張に問題を見つけることは可能だが、それは本質的な反証にはならない。

頭の体操? これから起こるかもしれない危険性の話?

いいえ、これはすでに起きている現実を別な角度で考えてみたものです。

●「サイバー空間における無犯罪証明の不可能性」は諸刃の剣

とあるECサイトに会員登録をしたところ、スパムメールが届くようになった。自分の実名まで入っている。これはECサイトが自分が登録した情報をスパム業者に流したに違いない。そう考える人は多いだろう。もしもECサイトから情報が流れた事実がなかったとしてもECサイトはそれを証明することはできない。

その代表例が楽天市場からの個人情報漏えいだろう。多くの利用者が楽天から漏えいしたと考えていたが、楽天側は否定している。

楽天市場から個人情報がスパム業者に流出か、実名の記載された迷惑メールが楽天でしか使っていないメールアドレスに届き始める(Gigazine)
http://gigazine.net/news/20090527_rakuten_spam/

楽天に直撃インタビュー!GIGAZINEの「個人情報1件10円販売」報道によるユーザーの疑問とその答えを聞いた(デジタルマガジン)
http://digimaga.net/2009/05/interview-how-does-rakuten-think-of-gigazine

【お知らせ】一部ブログによる掲載情報の事実誤認について(楽天市場)
http://www.rakuten.co.jp/help/whatsnew/

ただし、その一方で2005年7月に、36,000件の個人情報漏えい事件が発生していることも事実である。出店店舗の社員が個人情報を悪用した事件だ。

では、事件化したもの以外には、漏えいしていないのか? と考えるとここに「サイバー空間における無犯罪証明の不可能性」が立ちふさがる。漏えいしている、していない、いずれにしても証明は不可能だ。

これが現在起きていることである。

もうひとつ起きていることがある。脅迫だ。

とあるECサイトに脅迫状が届く。

そちらから個人情報が漏えいしており、自分はその証拠となるデータを持っているので買い取ってほしい。

そのデータとはもちろん個人情報そのものだ。ECサイトには侵入の痕跡はない。だが、男の主張を否定することもできない。なぜなら、データはどのようにでもコピーできる以上、内容が同じなら同じデータと主張できるからだ。そして漏えいのルートは仮説としてはいくらでも考えられる。内部からの漏えい、外部協力会社からの漏えいなどさまざまな可能性がある。

もちろん逆に脅迫者も同じデータだと証明できない。だから会社は脅迫に応じないこともできる。その場合、脅迫者はデータを公開し、あのECサイトから情報が漏えいしていると声高に主張するだろう。そして会社は状況証拠でしか、それを否定することはできない。

2004年にソフトバンクBBから約450万人の個人情報が漏えいした。流出したデータを入手した犯人3人が脅迫を行い、逮捕された。この3人はコンピュータやネットにはくわしくなかった。もしもくわしい人間であれば自分自身を特定されないようにして脅迫することも可能だったろう。そうすれば逮捕されることもなく、流出ルートも解明されなかった可能性がある。

「サイバー空間における無犯罪証明の不可能性」は個人情報を扱う事業者にとっても、個人情報を登録する利用者にとっても諸刃の剣となる。どちらも自分にとって都合のよい主張を展開することができる。

●漏えいした個人情報の作り方

では、「漏えいした個人情報」というのは、簡単に作る、あるいは、入手することができるのだろうか? 答えはイエスだ。

もっとも重要なポイントは、下記につきる。

(1)利用者本人は正しいデータを何度でも入力することができる
(2)内部協力者からデータを入手できる可能性は常にある

こう言うと身も蓋もないが、利用者を騙して特定のサイトのIDとパスワードを入力させることは可能だし、アンケートやキャンペーンなどの名目である程度の個人情報を取得することもできる。最近ではソーシャルネットワークサービスの連携アプリを悪用して情報を奪取する方法もある。

ソーシャルゲームを利用している子供を騙して、仮想通貨やアイテムの謝礼と引き替えに親の氏名などの個人情報をアンケートやキャンペーンで訊くこともできるだろう。

そして内部協力者の可能性は常にある。そこに運営スタッフ、開発スタッフ、外注スタッフがいれば可能性はある。「サイバー空間における無犯罪証明の不可能性」は、自白しなければバレない可能性を高めてくれる。

広義のソーシャルエンジニアリングの手法を用いることで、「漏えいした個人情報」を作ることは可能だ。

●企業に求められる説得力のある「無犯罪証明」

「サイバー空間における無犯罪証明の不可能性」は諸刃の剣。特に脅迫を受ける企業には切実な問題だ。なにしろ潔白を証明することができないのだから。

これからの企業には説得力のある「無犯罪証明」が不可欠となることは間違いない。それがなければ第三者が脅迫することもできるし、信用を地に墜とすこともできる。では、具体的にどのような方法で行うことができるのか。

紙面がつきたので、この続きはまた。

(一田和樹)

筆者略歴:作家、カナダ在住
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. サイバーセキュリティ経営ガイドラインがあと一歩「惜しい」理由

    サイバーセキュリティ経営ガイドラインがあと一歩「惜しい」理由

  2. ペネトレーションテスターは見た! 第2回「誰が困る? 脆弱性出すぎ問題」

    ペネトレーションテスターは見た! 第2回「誰が困る? 脆弱性出すぎ問題」

  3. ペネトレーションテスターは見た! 第1回「ペンテスターの苦悩 ~ 脆弱性が見つからないのは○○だから?」

    ペネトレーションテスターは見た! 第1回「ペンテスターの苦悩 ~ 脆弱性が見つからないのは○○だから?」

  4. 七瀬 晶 作 「自動走行車の行方」- 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー

  5. [セキュリティ ホットトピック] ランサムウェア「WannaCry」被害概況

  6. [数字でわかるサイバーセキュリティ]情報漏洩が企業の大きな懸案事項に、約1万5千人分の個人情報を従業員が持ち出し

  7. 一田 和樹 作 「さよならアカウント」- 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー

  8. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  9. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  10. ISMS認証とは何か■第1回■

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×