韓国における、個人情報流出事件が止まらない。
ソウル地方警察庁 サイバー犯罪捜査隊(以下、警察)は、大手通信会社のHanaro Telecom(以下、Hanaro)、および携帯電話事業者のLG Telecom(以下、LGT)において、個人情報流出被害があったことを明らかにした。
本社社員が加担し、個人情報流出
警察は、テレマーケティング業者に顧客情報を提供し、これを不正に使用したマーケティング活動を行なった疑いで、Hanaroの代表取締役、副社長および社員、計22人を刑事立件したと発表した。
Hanaroでは2006年から2007年にかけ、約600万人分の8,530項目におよぶ個人情報を、全国1,000カ所以上にあるテレマーケティング業者に対して、顧客に無断で提供したという。
Hanaroでは、銀行とクレジットカードの会員募集のための業務提携を結んだ後、全国数百カ所のテレマーケティング業者に対し自社顧客の個人情報96万件を提供。顧客にはカード加入のみならず、Hanaroのインターネット・電話関連商品の販売を促す電話が頻繁にかかるようになった。
こうした内容の電話は、すでにHanaroのサービスを退会している会員に対しても行なわれた。本来ならば削除されていなければならない退会者の個人情報までが、実は保管されており、その後も利用されたことになる。ここでは全国300カ所以上のテレマーケティング業者に顧客情報が提供されていたようだ。
警察が今回の事件を捜査するきっかけとなったのは、顧客に対する度を越えたテレマーケティング攻勢による。マーケティングを超えた「スパム電話」(警察)が、顧客たちを苦しめていたようだ。
今回の事件は、本社社員の指示により組織的に行なわれていたという点でも深刻である。警察は今回の事件について「Hanaroがこれまで弁明しているように、一部支店が実績を上げるため独自に行なった行為ではない」と、Hanaroの言い分を否定している。さらにHanaroでは「個人情報を配布するシステムを開発、商品販売に積極的に利用しようとする指示までして、事実上すべての顧客情報を提供していた」と明かし、事態を重く見ている。
インターネットでは早速、Hanaroの行為を糾弾しようとする集まりが結成された。「Hanaro Telecom情報流出被害者訴訟の集まり」では、名前のとおり、集団訴訟を行なうことを目的としている。運営者は弁護士で、既に会員数は1万人を超えている。今後本格的な活動が展開されることが予想される。
LG Telecom、脆弱さ突かれ個人情報流出
24日、LGTのWebサイトを開くと「LG Telecomからお詫びを申し上げます」というポップアップウィンドウが表示されるようになった。
これによるとLGTのWebサイトから、顧客の住民登録番号(全韓国国民に与えられる13桁の番号)、サービス加入日、携帯電話モデル名といった3項目が、個人のブログを通じて流出したということだ。流出した住民登録番号は、370件に上るという。
この事件の被疑者は「有名ポータルサイト」(警察)の課長職に就いていた人物で、すでに検挙されている。
被疑者は、大学が研究目的で構築したWebサイト内の「携帯情報照会」を通じ、携帯電話事業者のサーーに接続できるアカウントやソースコードを調べ上げた。その後、LGT加入者の携帯電話番号を入力すれば、加入者の個人情報を確認できるブログを運営していた。警察によると、被疑者は大学によるソースを分析したうえで、被疑者自らが作ったサーバに個人情報資料を転送できるよう、緻密にプログラムを作りブログに露出させていたという。
今回の事件の特徴は、個人情報がリアルタイムに流出していたという点だ。警察によると「過去の多くの個人情報流出事件は、データベースから抽出した資料などだった」といい、今回のようにリアルタイムに流出する事件は初めてと述べている。
このようなことをする目的は何だったかというと、やはり金銭だったようだ。警察によると、被疑者は、携帯電話事業者サイトにおけるセキュリティの脆弱さを記者などに洩らす脅していた。携帯電話事業者に金銭を要求しようという意図が込められたメッセンジャーのログも確保しているという。
ところが被疑者は「携帯電話事業者側のセキュリティがもろかったので、すでに公開されているようなものだった」と、自らの罪を否定するような発言をしている。これに関しては警察も「初級レベルのプログラマーならば、誰でも簡単に脆弱な部分を調べ上げられる程度の水準」「アカウントを通じてインターネットの接続さえすれば、誰でも事業者の顧客情報網につながる状態」と、LGTのセキュリティレベルについて明かしている。
LGTでは3月24日と25日の2回に渡り、該当ブログのIPアドレスを遮断したという。
こうした事件で思い浮かぶのはやはり、最近1,000万人以上の個人情報が流出して波紋を呼んでいる大手オークションサイト「Auction」のケースだ。個人情報管理体制の虚を突かれ、結果的に大きな被害を生んだこれらの事件は、セキュリティの大切さ、自己防衛の大切さを再認識させてくれている。
一方、Hanaroのように、本社社員自らが加担して内部的に仕掛けられる事件については、利用者側がいくら気をつけても手の施しようがない。セキュリティシステムの強化とともに、セキュリティに対する精神的な訓練も必要なようだ。