生年月日と出生地をソーシャルネットワークに投稿したことがありますか?もしそうなら、ハッカーがあなたの社会保障番号を割り出すのに十分な情報を提供してしまっている可能性があります。少なくとも理論上は。カーネギーメロン大学の研究者たちは、統計分析を用いて個人の社会保障番号を推測する方法を考案しました。
カーネギーメロン大学の研究者、アレサンドロ・アクイスティ氏とラルフ・グロス氏は、社会保障番号制度と社会保障番号(SSN)の身分証明としての広範な使用が相まって「脆弱性の構造」を生み出しており、これは基本的な個人情報と現代のコンピューティング能力の入手可能性による予期せぬ結果であると述べています。この研究は、7月29日にラスベガスで開催される今年のBlack Hatセキュリティカンファレンスで発表されます。
アクイスティ氏とグロス氏は、問題は社会保障番号の構成方法にあると結論付けました。すべての社会保障番号は、地域番号(AN)、グループ番号(GN)、シリアル番号(SN)の3つの部分で構成されています。これら3つの要素は、社会保障番号申請時の居住地の推定値に基づいて予測可能です。これは、各州のANとGNの順序がオンラインで公開されており、シリアル番号が連番で割り当てられているため可能です。
研究者たちは、社会保障番号を推測するという自らの理論を、社会保障局(DSA)の死亡マスターファイル(DMF)と比較検証した。DMFは、死亡した人々の社会保障番号をリスト化した公開データベースである。
社会保障番号の予測成功率は比較的低かったものの、研究者らは1989年以前に生まれた全国の人々の社会保障番号を、100回未満の試行で0.08%の確率で正しく推測することができた。
しかし、最も予測が簡単だったのは、人口の少ない州で割り当てられた番号と、1988年以降に生まれた人々でした。その理由は、1989年以降、社会保障番号は出生時列挙制度に基づいて割り当てられ、人々は出生時に社会保障番号を取得していたためです。EAB(社会保障番号登録制度)により、出生地と申請時の居住地が一致していることが保証されたため、社会保障番号を特定する可能性が飛躍的に高まりました。さらに、人口の少ない州では利用可能な社会保障番号の数が自動的に減少するため、正しい推測の可能性が高まります。
例えば、カーネギーメロン大学の研究者が、1996年にデラウェア州で生まれた人については、10回未満の試行で20の完全な社会保障番号のうち1つを識別することができたという驚くべき発見がありました。研究者たちはまた、1989年から2003年の間に生まれた人については、1回の試行で誰の社会保障番号の最初の5桁も44パーセントの確率で正しく識別できることも発見しました。
アクイスティ氏とグロス氏は、この結果にもかかわらず、彼らの社会保障番号収集手法は高度なハッカーによってのみ模倣可能であると警告している。研究者らは、そのようなシナリオの一つとして、1991年にウェストバージニア州で生まれた男性の社会保障番号を推測する適切なアルゴリズムと、少なくとも1万個のIPアドレス(ゾンビコンピュータ)を含むレンタルボットネットを備えた犯罪者が、1分間に最大47人の社会保障番号をどのようにして入手できたかを論じている。アクイスティ氏とグロス氏が提示した様々な変数に基づいて運用され、理想的な状況が整えられている必要があるが、この研究は、わずか2つの基本的な個人情報があれば大規模な個人情報収集が可能であることを示唆している。
ソリューション
では、社会保障番号の欠陥が証明された今、一体何が答えなのでしょうか?アクイスティ氏とグロス氏は、銀行口座の開設や携帯電話会社への登録といった個人的な取引において、社会保障番号を個人識別番号として利用するという慣習は、より安全な識別システムに置き換えるべきだと主張しています。
社会保障番号(SSN)を個人識別の手段として利用することは、社会保障局(SSA)が長年警告してきた手法です。しかし、SSAのマーク・ラシター代表はニューヨーク・タイムズ紙に対し、カーネギーメロン大学の研究は警戒すべきものではないと述べました。ラシター氏は、研究者たちがSSNを発見するための「暗号を解読した」と主張するのは「大げさな誇張」だと述べました。また、SSAは来年からランダム化システムを用いて番号を割り当てる予定だと述べました。
オンラインでの個人情報の保護についてご心配な場合は、PC World の「オンライン ID を保護するためのガイド」をご覧ください。
Twitter (@ianpaul) で Ian Paul とつながりましょう。
