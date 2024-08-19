2024年4月8日頃、ダークウェブ上に数十億もの人々のデータが公開されました。これは、国家公開データの1回の侵害によるものです。しかし、被害者の多くは、まだ企業からの通知や声明を受け取っていないため、自分が被害に遭ったことに気づいていません。
最近、被害者の1人が、個人情報盗難防止サービス・プロバイダーからの通知を受けてデータが侵害されたことを知り、集団訴訟を起こしました。知らないうちにダークウェブ上でデータが売られた人々にとって、これは何を意味するのでしょうか。
Jerico Pics, Inc.が所有する国家公開データは、フロリダを拠点とする身元調査事業としてデータを収集しています。国家公開データのデータベースに含まれる消費者は、自分のデータを同社に提供することに同意しませんでした。
Christopher Hofmann氏が起こした訴訟によると、USDoDというサイバー犯罪グループが、氏名、社会保障番号、住所を含む29億人の米国市民の個人情報が含まれるデータベースをダークウェブ上に公開しました。このデータには、個人の親族に関する情報も含まれていました。このデータの特筆すべき点の一つは、居住歴が長いことです。対象者の居住期間は数十年に及び、親族の中には20年以上前に亡くなっている人もいます。
ハッカー・グループはデータベースに350万米ドルの購入価格を付けました。サイバーセキュリティーに特化した教育ウェブサイト「VX-Underground」は、同グループからデータベース漏洩の意図を知らされた後、277.1 GBのデータベース内の情報が本物かつ正確であることを確認しました。国家公開データはCIRCIAの重要インフラに関する要件に拘束されないため、同社は72時間以内に情報漏洩を報告する必要はありませんでした。
「この暗号化も編集もされていないこのPIIは、被告の過失および/または不注意な行為や怠慢、および顧客の機密データを保護できなかった完全な不備により、侵害され、公開され、ダークウェブで販売されました。ハッカーは原告およびクラスメンバーの個人情報を悪用・盗用する価値があるとして、これらを標的とし、データを侵害しました。データ侵害の被害者にとって現在および継続的なリスクは、それぞれの生涯にわたって続くことになるでしょう」と訴訟では述べられています。
被害者への通知を怠っただけでなく、国家公開データは情報漏洩に関する公式声明を発表していません。ロサンゼルス・タイムズは、同社がEメールによる問い合わせに対し、「消費者データに関する特定の第三者からの申し立てを認識しており、これらの問題を調査中である」と回答したと報じました。この訴訟では、原告側の最大の懸念事項として通知の欠如が挙げられています。
訴訟の中でHofmann氏は、金銭的救済を含む具体的な行動を国家公開データに求めました。彼は、国家公開データに対し、侵害されたすべてのPIIを削除するよう要求しました。さらに、同社が今後すべてのデータを暗号化し、データのセグメント化を行い、データベースをスキャンし、脅威管理プログラムを開始することを望んでいます。さらに、サイバーセキュリティー・フレームワークの評価を2034年まで毎年実施してほしいと考えています。
詳細はまだ明らかになっていないものの、今回のデータ侵害は史上最大、あるいは最大級のデータ侵害の一つであると思われます。2013年のYahooの侵害では30億のアカウントが含まれており、国家公開データの侵害には29億人分が含まれていると思われます。したがって、今回の侵害の余波が一段落した後も、Yahooの侵害の方が規模は大きいかもしれません。今回の侵害が記録に残るとなると、以前2位と3位だった侵害事件は3位と4位に移動します。2017年のRiver City Mediaの侵害では13億7,000万件の記録が流出し、2018年のAadhaar侵害では11億件が侵害されました。
専門家たちが今回の問題の決定を予測する中、多くの人は過去の事件を参照して比較しています。Yahooを相手取って起こされた同様の訴訟では、米国地裁裁判所のLucy Koh判事は、2019年に10億件近いアカウントを持つ、影響を受けた2億人に上る個人への支払いを盛り込んだYahooの和解案を却下しました。Koh氏が和解案を却下した理由は以下の通りです。
消費者は、データが侵害されたかどうかを知るために、現状の変化を監視する必要があります。予防策として、個人は信用報告書と銀行口座を慎重に監視し、一方的な情報や口座の要求には対応しないようにする必要があります。
「もしこれが事実上、私たち全員に関する書類の大部分だとしたら、以前の情報漏洩よりもはるかに問題です」と、米国公開情報調査グループの消費者ウォッチドッグ・ディレクターであるTeresa Murray氏はロサンゼルス・タイムズ紙に語りました。「もし人々がこれまで取るべき予防措置を講じていなかったとしたら、今回のことは彼らにとって五段階警報レベルの警鐘となるはずです。」
