VNG社が1億6,300万件以上の顧客アカウントを公開したという情報は、個人情報保護法制定案の一部である、個人情報保護に関する社会関係の現状を評価する報告書の中で公安省によって明確に述べられた。
公安部は、サイバー空間における個人情報の漏洩が蔓延していると判断しました。ユーザーは、個人情報の保護を意識せず、業務目的での移転、保管、交換の過程で個人情報を公開したり、漏洩したり、不適切な保護対策によって不正に流用され、公開されたりするケースが見られます。
公安省は評価報告書の中で、いくつかの典型的な事例を挙げている。「 VNG社は1億6,300万件以上の顧客アカウントを流出させた。モバイルワールド社とディエンメイザン社は500万件以上のメールと、顧客のVisaやクレジットカードなどの決済カード情報を数万件流出させた。ハッカーはベトナム航空のサーバーシステムを攻撃し、ゴールデンロータスプログラム会員の顧客アカウント41万1,000件をインターネット上に公開した。」
Zing MP3とZaloはVNGのテクノロジー製品2つです。(写真:VietNamnet)
ベトナムのタクシー仲介会社に顧客情報が漏洩し、SMSメッセージで顧客を勧誘している状況や、 FPT社の顧客データがオンラインで公開されている状況についても公安省は言及した。
公安部によると、現在、個人情報の売買は広く公然と行われており、生データや加工された個人情報も対象としている。多くの行為は、法的規制の欠如により対処されていない。
生データには、省庁や経済団体(商工省、財務省、運輸省、科学技術省、農業農村開発省、商務省、税務総局、石炭グループなど)の職員や内部連絡先のリスト、全国の電力顧客、ネットワーク事業者の電話やインターネット加入者に関する情報、銀行、証券、保険などで借り入れや貯蓄をしている顧客に関する情報などが含まれます。
処理される個人データは、氏名、生年月日、ID番号、住所、電話番号、銀行口座番号(残高を含む)、親族、役職、職位など、個人、組織、企業に関する詳細な情報として公安部によって識別されます。
公安省はこの状況をさらに分析し、企業やサービス企業が顧客の個人データを収集し、第三者が個人データ情報にアクセスすることを許可しているものの、厳格な要件や規制がなく、第三者が他のパートナーに転送して取引することを許可していると述べた。
企業は顧客の個人情報を積極的に収集し、個人データウェアハウスを形成し、そのデータを分析・処理してビジネスや取引を行います。
公安省の報告書は、「個人データの取引は体系的かつ組織的に行われており、『保証』を約束し、購入者の要求に応じてデータの更新や抽出を行うことができる。多くのデータは、サイバースペースにおいて長期間にわたり、公開され、大量に売買されている。売買は、ウェブサイト、アカウント、ページ、ソーシャルネットワーク上のグループ、ハッカーフォーラムなどを通じて行われている」と明確に述べている。
公安部は評価報告書の中で、違法に個人データを収集する方法や手口についても言及した。
公安省によると、具体的には、標的はユーザーを誘引するために魅力的なコンテンツを持つウェブサイトを作成または利用し、ユーザーがアクセスすると、ユーザーの知らないうちに悪意のあるコードをコンピューターやスマートデバイスにインストールして情報を収集するという。
例えば、オンラインゲームのページやわいせつなコンテンツを含むウェブサイトなどに悪意のあるコードを貼り付けたり、Facebook、メール、銀行などの偽のログインページを作成したりします。これらのページはメールで被害者に送信され、サービスプロバイダのログインページと同じインターフェースになっています。被害者が油断してそのウェブサイトにログインすると、その情報はサービスプロバイダではなく、ハッカーに送られてしまいます。
公安部が指摘したもう一つの方法は、無料ソフトウェアを通じた個人情報の違法収集です。インターネット上で無料で提供されているソフトウェア、特に出所不明のソフトウェアやクラックされたソフトウェアの場合、対象者はそれを利用してマルウェアをインストールし、ダウンロードしてインストールする際に、誤って自分のデバイスにマルウェアをインストールしてしまう可能性があります。
「そして、これらの悪意あるコードはユーザーの個人情報を密かに収集します。例えば、ソフトウェアのクラックやパッチプログラム、AntivirusGold、Antivirus PC 2009、AntiSpyware Shield Pro、DoctorTrojanなどの偽のウイルス対策ソフトウェアなどです。 」と公安省は発表した。
スマートデバイスを介した攻撃も、犯罪者が個人情報を不正に収集するために用いる手法の一つです。公安省はこれを新たな戦術と捉えています。犯罪者は、Wi-Fiルーター、防犯カメラ、スマートフォンなど、インターネット接続可能なスマートデバイスを標的とすることが多いです。
スキャンを実行して、メーカーのデフォルトのアカウントとパスワードの使用、パッチの定期的な更新の不履行など、これらのデバイス上の一般的なセキュリティ上の脆弱性を検出して悪用することにより、対象者は悪意のあるコードをインストールして、ユーザーを監視、収集し、脅迫または恐喝します。
[広告2]
ソース
コメント (0)