セキュリティベンダーのファイア・アイは5月18日、中国のアンダーグラウンド・フォーラム上で、延べ2億件以上の日本人の個人情報が販売されていたと発表した。少なくとも2013年9月から取引され、価格は1000人民元(約1万7400円)だったという。

【その他の画像】

 同社が2017年12月、何者かがデータを販売する目的で広告を掲載しているのを発見し、事態が発覚した。広告は「一意の認証情報セットを2億件収録している」「日本国内で人気の複数のWebサイトのデータベースから抽出した」などとうたっていた。

 販売データには、氏名、認証情報(ID・パスワード)、メールアドレス、生年月日、電話番号と住所が含まれていたという。各フォルダのラベルには、16年5~6月、13年5月と7月など、取得時期を示す日付もあった。

 ただ、販売データには、重複しているものや偽のメールアドレスも見つかった。流出した認証情報のうち19万件以上のサンプルには、36%以上の重複値が含まれていたという。ファイア・アイは「データが偽造とは言い切れないが、一意の認証情報や本物の個人情報は、2億件よりも大幅に少ないことが示唆される」としている。

 また、アンダーグラウンド・フォーラム上では「購入したがデータが送られてこない」「購入者が期待した商品ではなかった」などネガティブな評価もみられたという。

 個人情報の流出源は非常に多く、種類も多岐にわたることから「特定組織のWebサイトが標的とされたのではなく、日和見的に情報が盗まれたと考えられる」という。一部のファイル名には、日本の食品ブランド、オンライン・ハンドバッグ店、アダルトサイト、輸送会社、ゲーム関連のWebサイト、美容企業などが含まれていた。

 同社の調べによれば、販売者は中国・浙江省在住の個人とみられ、別に2人の人物が協力している可能性がある。少なくとも2013年9月から販売し、日本以外にも中国、台湾、香港、欧州諸国、オーストラリア、ニュージーランド、北米諸国のWebサイトから抽出したデータを取引していたという。

 データの大半は、過去の漏えい事件で流出したものや、販売されたものの可能性があり、今回データに含まれていた組織や個人を標的に新たな攻撃が大規模に行われることはないと、同社は予想している。

 しかし不正アクセスを受けたWebサイトと、他の個人や企業関連アカウントの間で、認証情報の再利用があった場合、漏えいした情報が他の組織の標的活動に悪用される可能性がある。漏えいした情報は、なりすまし犯罪、迷惑メール、マルウェアの伝播(でんぱ)、詐欺に使われる恐れもあるとしている。