米国の社会保障番号(Social Security Number: SSN)を管理するシステムに脆弱性があり、数百人に及ぶ国民の個人情報が危機にさらされていることが米カーネギーメロン大学(CMU)の調査でわかった。米New York Timesなど複数の報道機関が7月6日(現地時間)に報じている。これは統計的手法を使って個々人の誕生日や出生地からSSNを予測するもので、悪意のある第三者が利用することで個人情報の盗難やシステムへの侵入が容易となる。

調査報告は7月6日に発行された米国科学アカデミー紀要(Proceedings of the National Academy of Sciences)で発表されたもので、SSNのナンバリング規則がコンピュータが強力になる以前に制定されたもので、結果として安全性を担保できないという。CMUの研究者らが開発したアルゴリズムを、SSNを管理する米社会保障局(Social Security Administration: SSA)の持つ死亡者一覧マスターのうちから一般利用可能なものを抽出して試したところ、所在地によってある一定のパターンがみられたという。

このデータを利用することで、個々人の誕生日と居場所がわかるだけで数百万人分のSSNを推測することが可能になるという。もともとSSNはその番号が付与された時点の出身州と誕生日を基に決定されるため、こうした予測が行えるようだ。

サンプルデータによるテストでは、1988年以降に生まれた死亡者のうち、1回目の番号予測で最初の5桁を的中させたのが44%。1973-1988年に生まれたデータの5桁的中率は7%だった。SSNの全番号である9桁まで的中させた割合は、1988年以降生まれの死亡者のデータのうち、1000回の予測で8.5%に達している。

1980年後半生まれの的中率が急増している理由としては、SSNのナンバリング規則がここで変更され、より誕生日のデータに依存する部分が増えたからのようだ。また1996年にデラウェア州で付与された20のSSNのうち、その1つの全9桁を的中させのに費やした試行回数は10回未満だったという。

これは誕生日と出身地からSSNを予測するという手法が存在することを示すデータだが、少ない試行回数でSSNを的中させることが可能ということは、それだけ第三者によるシステム侵入や個人情報の盗難が容易になることを意味する。米国では個々人に付与されるユニークな管理番号ということでSSNが使用されるケースが多く、SSNの利用でシステムや個人アカウントへの侵入が容易になる。ノートPCの盗難やハッキングなどでたびたび「SSNの盗難が行われた形跡はない」と強調するのも、こうした理由が背景にある。

本件を受けてSSA報道官のMark Lassiter氏はNYT紙に対して「SSNを単純に推測できる方法など存在せず、これを受けて政府は警戒すべきではない」とコメントし、問題が大きく広がる恐れがないと強調している。