このところいろいろな所で個人データ流出があり、最初は驚いていたのに最近では「ああ、またか」と何か慣れを感じています。Mass shootingとも似ていて、本当は大変なことなのに、自分ではどうしようもない無力感と気にしていたら生きていけないあきらめとが交錯します。我が家もここ数年でいくつかの個人データ流出に巻き込まれ(クレジットビュロー、雇用主などなど)、それぞれが事後策としてモニタリングサービスを無料で提供するので,一応登録して利用しています。そうすると今度は、「あなたの情報がDark Webで売り買いされています」という警告が送られてくるのです。これも最初は、「あら大変だ!なんとかしなければ」と思って対応していたものの、何回か続くと「あ、またか」になりつつあります。幸い、大きな被害につながるケースは今のところないものの、このDark Webというのはいったい何なのか、どう自らを守って行ったらいいのか調べてみました。
2020年だけで、115ミリオン件のデビットカードとクレジットカード情報がDark Webで取引されたそうで、そのうち87ミリオン件がアメリカのものだそうです。インターネット上の空間は、私たちがふつうに訪れる(Googleサーチで調べられる)Public Spaceと、パスワードなどで保護されておりアクセス権のある人しか見られないDeep Webとに分かれています。私たちが普通に見るニュースや情報検索はPublic Spaceで行われており、ときには自分のパスワードを使って個人的な情報収集や処理をしているのがDeep Webと呼ばれる一般公開されていないSpaceです。Dark WebというのはDeep Webの中のさらに深いところ、特別なブラウザを使ってでしかアクセスのできない空間で、そこではanonymous(匿名)のまま情報の閲覧や売買、取引ができるそうです。
匿名で取引ができることから、Dark Webは違法行為がたくさん行われています。個人情報の売買、チャイルドポルノ、人身売買、ハッキングサービス、薬物や銃器の違法販売などなどです。一方で匿名性が良い意味で使われることもあるそうで、ジャーナリストや内部告発者の身元を保護した形での情報提供なども行われているそうです。
私たちはDark Webの存在などふだんは知りもしないし、自分がDark Webを使うことなどもないけれど、ある専門家によれば、「アメリカでクレジットカードを持っている限り私たちのクレジットカード情報がDark Webで取引されるのはほぼ防ぐことができない」ということです。個人情報売買市場はそれ自体が一大経済圏をなしているようで、2021年2月に政府当局に発見されて閉鎖を余儀なくされたアンダーグラウンド情報ブローカーのJoker’s Stashという組織は、$1ビリオン以上の売り上げがあったそうです。USソースのカード情報は一件につき$13から$17、US以外の場合は高いと$35もの値段が付くそうです。パスポート情報なら$1,000だそう。
どう対応するか
手に取ってみることができないがゆえに、なんだか無力感を感じてしまうDark Webですが、個人レベルでできることを列挙してみます。Dark Webに情報が載らないようにする策よりは、情報売買がされたとしても被害を防ぐ策のほうが多いとも言えますが、とにかくできることを書いてみます。
なるべくデビットは使わない
できる限りデビットカート(ATMカード)より、クレジットカードを使う。デビットカードは銀行口座直結なので、そこからお金を盗まれたら取り戻しが難しい場合もあります。クレジットカードは法律で、不正使用の際の消費者負担が限られています。情報を盗まれても、消費者保護の面ではクレジットカードのほうが保護レベルが高いです。
なるべく入力情報を最小にする
(私は個人的にあまり使ったことがないですが)できるだけApple PayやGoogle Payを使うというのも一考の余地があるようです。これらは、有効期限やCVVをトークン化するとかで、そのままの情報を入力したりする必要がないため、個人情報の拡散が限られるそうです。たしかに、あまり使ったことのないサイトや一回きりできっと将来的に使うことがないサイトで支払いをしなくてはならないとき、クレジットカード情報を入れるのが憚れることがあります。Paypal選択があればPaypalを選んでいましたが、Apple PayやGoogle Payのほうがより安全ということなのでしょう。
ATMは建物内で
ATMを使うローケーションはなるべく安全なところにする。ATMに違法カード情報リーダーをつけておいて、カード情報を盗む方法は以前からありました。そのような装置がついているかついていないかはなかなか見ただけでは判断できないそうですから、できるだけ安心な場所、信用度の高い場所を選ぶのがよいそうです。できる限り多少面倒でも、銀行の建物の中に入ってATMを使う方が安全度が高いようです。
不要な情報は消す
本人確認のために、パスポートや運転免許のコピーが必要という場合で、スキャンして送付しなければならないときもあるでしょう。そのような場合も、パスポート番号や運転免許番号は消しても、本人確認は十分ことが足りる場合も多いです。とりあえず番号は消して送付し、認められなかったら再送(暗号化のうえ)というのが良いように思います。
クレジットはFreeze
クレジットファイルはFreeze(凍結)する。必要がある時だけUnfreeze(解凍)すればいいわけですから、普段はFreezeしアクセス不可にしておきます。ソーシャルセキュリティや誕生日などたとえ個人情報が盗まれたとしても、なりすましでクレジットカードが勝手につくられたり、ローンが開かれたりすることが防げます。
アラート設定
クレジットカードやデビットカードの利用があったとき、銀行口座から引き落としがあったときなど、いちいち自分(あるいは家族)が行ったものなのか、身に覚えがないものかすぐに確認できるように、アラート設定をしておく。カードの不正使用があったとき、いち早くキャッチする方法です。デビットカード/ATMカードは、クレジットカードよりも詐欺による被害保護が限られているので、必ずアラート設定をすることがお薦めです。
パスワード管理
パスワード管理に真剣に取り組むことも大切です。emailアドレスといつも使うパスワードを、複数のアカウントに使っているのが一番キケンだそうです。いったんログイン情報を入手したハッカーはBotを使って、そのログインで入れそうな口座を手あたり次第に探していくそうです。各サイトで異なる、なるべく長い強力パスワードを設定することが必要・・と分かっていても、なかなか難しいですよね。しかもパスワードは定期的に変更しなくてはならなかったりするともうお手上げです。私も少し前からPassword GeneratorとMangerを使いはじめました。確かに便利ですが、これっていったん使い始めたらずっと使い始めることになるんだろうなと思っています。
モニタリングも
Dark Webモニタリングサービスを使うのも手ですが、モニタリングはあくまで起こってしまった後をキャッチするもので、防止にはなりません。そしておそらくかなりの確率で、盗難があった旨アラートが来ます。盗まれた情報と必要によりますが、ログイン情報の変更や各機関への通知をすることになります。