ホーム > 情報セキュリティ > アイデンティティ窃盗(Identity Theft)-社会システムの脆弱性

アイデンティティ窃盗(Identity Theft)-社会システムの脆弱性

2005 年 1 月 19 日 コメントをどうぞ コメント

 前回アイデンティティ窃盗(Identity Theft)を取り上げたが、若干説明不足だと思うので再度この問題を取り上げる。

 アイデンティティ窃盗とは一言でいうならば、他人に成りすますことによって行われる様々な犯罪行為の総称である。簡単な例で言えば、他人に成りすましてクレジットカードを利用する。他人に成りすまして家を借りる。交通違反で捕まった際に他人の名前を言って罪を逃れるなどの行為が含まれる。最近日本でも問題になっているフィッシング詐欺は、アイデンティティ窃盗の手段として使われる可能性がある。米国では2003年頃から社会問題として大きく取り上げられており、米連邦取引委員会(Federal Trade Commission)の2003年9月の調査では、過去5年間で2730万人、2002年だけでも990万人が被害者として報告されている。年間で約30人に一人が被害に遭っている計算になる(ほんとか?)。金額としては企業等が年間480億ドル、個人消費者からは50億ドルの被害が報告されている。昨年の全米映画興行収入が約94億ドルと言われているので、比較すると規模の大きさがわかるだろう。米国ではこの問題に対する法整備や、被害者救済の対策が急ピッチで進められている。

 アイデンティティ窃盗には、口座の悪用(Account takeover)、成りすましによる不正な申請、犯罪者によるアイデンティティ悪用(criminal identity theft, frameup)などが含まれる。クレジットカードを不正に利用された場合、免責部分以外は保険でカバーされるので被害者個人が被害金額の全てを支払うことはないが、被害に気付かなければ不正に利用された金額も支払うことになるし、被害を発見した場合は各種手続きに多大な労力を要し、場合によっては個人の与信情報が傷つきその後の生活に不自由をきたすこともある。知らない間に他人が自分名義で家や車を購入し普通に生活をしていたということもあるという。犯罪者に自分のアイデンティティを悪用された場合には、見に覚えのない犯罪について不当に逮捕されたりデータベースに犯罪歴が残ったりして社会的信用の失墜につながることもある。

 アイデンティティ窃盗から身を守る対策としては、ソーシャルセキュリティナンバー(SSN:社会保障番号)、クレジットカード番号、電話番号、誕生日、運転免許証番号などの個人情報を極力外部に漏らさないこと、郵便ポストに鍵をかける、個人情報を含む紙を破棄する際には必ずシュレッダーにかける、与信(クレジット)情報を定期的に取り寄せ確認することなどがあげられる。

 米国はよくクレジット社会と言われるが、クレジットカードだけではなく世の中全体が緩やかな信頼関係(クレジット)によって成り立っており、悪意を持った行為に対しては脆弱である。日本であっても米国であっても、社会には悪用しようと思えば悪用できるしくみというのは無数に存在している。これまでは、サービスを提供する側も受ける側もある程度性善説にたっている。皆がその緩い仕組みの恩恵を享受してきたわけであるが、ここに来てその信頼が崩れてきている。

 ここで本人認証というものが大きな問題となってくる。アイデンティティの悪用が多くなるにつれて、個人というものを正しく認証するする必要性が高くなる。従来米国ではソーシャルセキュリティナンバーの回答をもって本人を認証することが少なくなかった。本来ソーシャルセキュリティナンバーは個人を識別するための番号であって、本人かどうかを認証するパスワードのような機能は持たない。情報セキュリティの観点からはこれは誤った使い方である。誤っていたとしても実効的には機能していたので様々な機関がソーシャルセキュリティナンバーを本人認証の手段としてきた。それによってソーシャルセキュリティナンバーを本人認証の手段として使っても良いという誤った認識が広まったと考えられる。クレジットカード番号についても同様で、クレジットカード番号と有効期限を知っていることが、クレジットカードの持ち主であることを証明することにはならないが実効上機能してきたので、そういった使われ方が行われてきた。最近では、各種事故が多くなってきたのでオンライン取引などではではクレジットカードの番号に加えセキュリティコードが要求されるようになっている。日本では各種手続きを電話などで行う際、住所、生年月日等を確認することによって本人認証を行うことがある。今のところ問題にはなっていないが、アイデンティティ窃盗の被害が多くなってくると、この方法は使えなくなってしまう。その際、米国のように基礎年金番号や住民票コードを知っているかどうかで本人認証を行うという間違いをおかしてはならない。

 米国人に、日本ではまだ銀行口座や契約書の認証に印鑑というものを使っているのかと驚かれたことがある。その米国人の感覚では印鑑というのは、認証としての役割を果たさないと考えているらしい。最近の銀行口座からの不正な預金引き出し等の事件を見ていると全くそのとおりだ。一方、日本人から見れば米国人が何でもサインで済ませてしまうのも心もとない気がする。サインは本人の身体的特徴を利用して認証を行うバイオメトリクスとしての性質を持つことから印鑑よりは強い認証機能を持つ思われるが、照合の基準が明確でないなど、馴染みのない日本人にはしっくりこないかもしれない。

 米国社会は、ソーシャルセキュリティナンバーやクレジットカードナンバーの知識を認証に用いていたり、個人に対する与信関係によって社会が成立しているため、現金をベースにした日本社会よりもアイデンティティ窃盗に対しては脆弱ともいえる。しかしながら、日本においてもアイデンティティ窃盗による被害が拡大し、本人認証と個人の信頼の管理をどのようなしくみで実現していくかという問題に直面する日は遠くないと思われる。

【参考情報】
米連邦取引委員会のアイデンティティ窃盗に関するページ
http://www.consumer.gov/idtheft/

カテゴリー: 情報セキュリティ タグ:
  1. コメントはまだありません。
  1. トラックバックはまだありません。

CAPTCHA