ファイア・アイは5月17日、記者説明会を開催し、最新のセキュリティ脅威トレンドを解析したレポート「M-Trends 2018」のポイントと同社の調査チームが発見した中国の闇サイトで2億件以上の日本人の個人情報が販売されていた件について、説明を行った。

説明会では、日本を含むアジア太平洋地域(APAC)の特徴として、セキュリティ侵害の発生から検知までに、他の地域に比べて約5倍の日数を費やしていることが紹介された。

セキュリティ侵害の発生から検知までに要した日数は、世界全体では101日、南北アメリカでは75.5日、EMEAでは175日だったのに対し、APACでは498日も費やしている。

  • セキュリティ侵害の発生から検知までに要した日数 資料:「M-Trends 2018」

また、一度被害を受けたAPACの組織は再び標的にされる割合が、EMEAや北米に比べて2倍であることも明らかになっている。具体的には、重大な攻撃を1回以上受けたAPACの組織の91%以上が、同じまたは似た動機を持った攻撃グループによって再び標的にされており、これらの組織のうち、82%が複数の攻撃者によって標的にされていたという。

このように、他の地域に比べて、APACのセキュリティ侵害の被害が深刻である理由について、米ファイア・アイ エグゼクティブVP兼CTOのグレイディ・サマーズ氏は次のように話した。

「アジア太平洋地域において、日本はセキュリティ侵害の標的となる可能性が高いが、被害を受けた時に公的機関に報告する義務がない。そのため、自社で対策を講じたら、それで終わってしまうケースが多い。これに対し、欧米では、セキュリティ侵害を受けたら、それを公開して情報を共有しようとする。一度侵害を受けた企業が再び標的になるかどうかは、過去の間違いを学ぶかどうかで決まる」

ファイア・アイ 執行役副社長 岩間優仁氏

日本人の個人情報流出については、ファイア・アイ 執行役副社長の岩間優仁氏が説明した。

FireEye iSIGHTインテリジェンスは2017年12月、中国のアンダーグラウンド市場で、日本人の個人情報が含まれたファイルが販売されていることを発見したという。データセットには、氏名、認証情報(ID・パスワード)、メールアドレス、生年月日、電話番号と住所が含まれており、その数は2億件を超え、価格は1000人民元(150.96米ドル)だった。

これらデータは、小売、食品、飲料、金融、エンターテインメント、交通など、11~50件の国内Webサイトから盗まれたと考えられるとのことだ。

岩間氏は「これだけまとまった数の個人情報の流出が発見されるのは珍しい。ただし、販売価格は100万件単位で75セントと1ドルを下回っており、情報量の割には価格が安いのは気になるところ」と語った。

流出した認証情報のうち19万件以上のサンプルを抽出したところ、36%以上に重複値が含まれていたほか、偽のメールアドレスも多数見られたが、公に公開されているデータソースには存在しない、多様なデータを含んでいることがから、同社では、このデータ自体は本物であると見ている。

また、流出したメールアドレスのうち20万件を無作為抽出したところ、大半は大規模な情報漏洩事件で過去に流出したものだったことから、これらのデータセットは、今回の販売目的のためだけに作成されたものではないと考えられという。

この情報の販売を行った人間については、2013年9月から個人情報を販売している中国浙江省在住の個人の関連が疑われており、2人くらいの協力者も存在するようだ。

アンダーグラウンド・フォーラム上で「広告の対象の商品が届かない」「期待した商品ではない」などのコメントが見られ、評価の大部分がネガティブだという。

岩間氏は今回の情報流出のポイントについて、次のように語った。

「流出した情報には2013年に取得された日付が含まれているものもあるが、IDとパスワードは使い回しているうえ、長期間にわたり同じものを使い続けているケースが多い。したがって、IDとパスワードは定期的に変更することで、個人情報が流出したとしても、悪用されるリスクを抑えることができる」

なお、同社では、流出が確認されている個人情報の悪用は確認していないという。