身元調査会社から29億件もの個人情報流出、家族や故人の情報も

画像提供：マイナビニュース

eSecurity Planetは8月20日(現地時間)、「2.9 Billion Records Exposed in NPD Breach: How to Stay Safe」が、29億件にも及ぶ個人情報漏洩インシデントについて伝えた。これは、米国地方裁判所に提出された集団訴訟の裁判資料により明らかになったもの(参考：「Bloomberg Law」)。

○個人情報漏洩の状況

裁判所に提出された訴状によると、インシデントの発生元は身元調査会社の「National Public Data(NPD)」とされる。National Public Dataは8月12日(米国時間)にインシデントの事実を認めており、Webページ上で概要を報告している(参考：「Security Incident」)。

National Public Dataの報告によると、2023年12月下旬頃からサイバー攻撃の予兆があり、データ漏洩は2024年4月から夏にかけて発生した可能性があるという。漏洩データの項目について、National Public Dataの報告と訴状とでは若干の食い違いがあるが、それらを総合すると次のようになる。

氏名
メールアドレス
電話番号
住所(過去30年以上にわたる履歴を含む)
社会保障番号
故人を含む家族の詳細

漏洩件数は29億件と推定されている。この数値はサイバー攻撃を実施したと主張する脅威アクター「USDoD」が、ダークWeb上のフォーラムに投稿した情報に基づいている。USDoDは29億件の個人情報を所有していると主張し、これを350万ドルで販売したとされる。

マルウェア収集調査グループの「vx-underground」はこの件について調査を実施し、脅威アクターから情報提供を受けたとX(旧Twitter)に投稿している。投稿によると、漏洩したデータのサイズは277.1GBあり、それが本物であることを確認したという。

○情報漏洩後の防衛策

eSecurity Planetは情報漏洩被害に遭った個人に対し、安全を確保するため次のような対策の実施を推奨している。

オンラインサービスに使用しているパスワードを一意で強力なものに変更する。パスワードはパスワードマネージャーを使用して生成、管理することが推奨される
フィッシング耐性のある多要素認証(MFA: Multi-Factor Authentication)を使用する
データおよび通信を暗号化する。具体的にはデータ保護にBitLocker、FileVaultを活用し、SignalやWhatsAppなど高度な暗号化に対応したメッセージアプリを使用する
すべてのソフトウェアを最新の状態に保つ。これには通信機器やIoTデバイスも含む
フィッシング詐欺に注意する
主要な調査機関(Equifax、Experian、TransUnion)に連絡し、信用情報を凍結する

データ漏洩の影響範囲は明らかになっていない。脅威アクターは米国、カナダ、英国の個人情報を含むと主張しているが、世界人口の3分の1と推測されるデータ件数の多さから、それ以上の国民に影響している可能性がある。国内においても米国に居住歴のある場合は注意することが望まれている。
（後藤大地）