個人情報の秘密を守るための戦いでは、ハッカーだけでなく、セキュリティの緩みや愚かさも心配しなければなりません。
今年上半期のデータ漏洩に関する調査によると、氏名や住所、クレジットカード番号や社会保障番号、医療記録などのデータが犯罪者に盗まれたり、漏洩したりする事件が増加している。
さらに詳しく読む: セキュリティの状況を広く検証する「2014 年 (これまでのところ) の最も恐ろしい 8 つのセキュリティ関連ニュース」。
多くの場合、侵害は不十分なデータセキュリティ慣行または単純なエラーによるものとされた。例えば、インディアナポリスのセント・ヴィンセント乳がんセンターが今後の診察予約に関する情報を記載した手紙63,000通を間違った相手に送ったり、スタンフォード連邦信用組合が18,000人の顧客情報を含むファイルを誤って電子メールに添付したり、ペンシルバニア州ヨークの公共焼却場に何千枚もの紙の医療記録が廃棄されたりした。
その他のケースでは、情報が保存されているノートパソコンやUSBメモリが盗まれ、中にはデータを保護するためのログインパスワード以外は何も盗まれなかったケースもあったようです。
ノートパソコン盗難事件の中でも最大規模のものの一つが、カリフォルニア州トーランスにあるサザーランド・ヘルスケア・ソリューションズのオフィスで発生しました。2月の侵入事件で8台のノートパソコンが盗まれました。これらのノートパソコンにはカリフォルニア州の約40万人の医療情報が含まれていたため、盗難事件は訴訟へと発展しました。
IDGNSデータ侵害が増加
アイデンティティ盗難リソースセンターによれば、米国では今年すでに395件のデータ侵害が発生しており、規制当局に報告されたり、メディアで報道されたりしており、昨年の同時期に比べて21パーセント増加している。
2014年上半期のデータ侵害トップ5をご紹介します。eBayの事例も追加で掲載しています。今回の侵害はこれまでで最大規模のものの一つと思われますが、問題の正確な範囲は同社からまだ明らかにされていないため、実際の規模を定量化することは困難です。
イーベイ
このオンライン小売業者は、オンライン小売業者によるデータ侵害としては過去最大規模の被害を受けました。攻撃者は2月下旬から3月上旬にかけて「少数の従業員のログイン認証情報」を侵害し、同社のネットワークにアクセスしました。そして、それを通じて顧客名、暗号化されたパスワード、メールアドレス、住所、電話番号、生年月日を含むデータベースに侵入しました。この侵害は同社の1億4,500万人の会員の大部分に影響を与えたと考えられており、多くの会員がパスワードの変更を求められました。
マイケルズストア
マイケルズとアーロン・ブラザーズの54店舗のPOSシステムは、2013年5月から2014年1月の間に「高度なマルウェアを使用した犯罪者による攻撃を受けた」。同社によると、この攻撃でマイケルズ店舗では最大260万件、アーロン・ブラザーズ店舗では最大40万件のクレジットカード番号と有効期限が取得された可能性があるという。同社は、少なくとも一部の不正使用が確認されている。
モンタナ州公衆衛生福祉局
不審な活動を受けて、当局は5月中旬に調査を開始し、モンタナ州公衆衛生福祉局のサーバーがハッキングされたという結論に至りました。サーバーには約130万人の氏名、住所、生年月日、社会保障番号が保存されていましたが、保健福祉局は「サーバーに保存されていた情報が不正に使用されたり、アクセスされたりしたと考える根拠はない」と述べています。
変額年金生命保険株式会社
同社の元ファイナンシャルアドバイザーが、顧客774,723人分の個人情報が保存されたUSBメモリを所持していたところを発見されました。このUSBメモリは、元アドバイザーに対する捜索令状に基づき、法執行機関から同社に提供されました。USBメモリには社会保障番号の全部または一部が含まれていましたが、保険会社は、これらのデータが顧客の口座へのアクセスに使用されたとは考えていないと述べています。同社がUSBメモリのデータを紛失したのは今回が初めてではありません。2006年には、元ファイナンシャルアドバイザーが「機密顧客情報」を「ポータブルフラッシュドライブ」にダウンロードしたとして訴訟を起こしており、同社はこれを終結させています。
スペックの
テキサス州のワイン小売業者のネットワークに対する17ヶ月にわたる「犯罪攻撃」により、最大55万人の顧客情報が漏洩しました。侵入は2012年10月に始まり、州内の同社店舗34店舗に影響を及ぼしました。攻撃は今年3月20日まで続き、同社はハッカーが顧客名、デビットカードまたはクレジットカードの詳細、カードの有効期限、カードセキュリティコード、小切手に記載された銀行口座情報、そしておそらく運転免許証番号までも盗み出したのではないかと懸念しています。
セントジョセフヘルスシステム
テキサス州の医療機関のサーバーが昨年12月16日から18日にかけて攻撃を受けました。サーバーには「約40万5000人の元患者と現患者、従業員、そして一部の従業員の受給者情報」が含まれていました。これには氏名、社会保障番号、生年月日、医療情報、そして場合によっては住所や銀行口座情報も含まれていました。他の多くのハッキングと同様に、調査ではデータがアクセスされたのか、盗まれたのかは特定できませんでした。
訂正:この記事に添付された図表は、ラベルの誤りを修正するために午後 4 時 58 分に更新されました。
