米サンディエゴ市が「盗難ID販売サービス」をめぐり大手信用情報機関を告訴

April 6, 2018 08:00
by 江添 佳代子

米サンディエゴ市が、世界最大規模の信用情報機関「Experian」（エクスペリアン）を訴えた。『The San Diego Union-Tribune』の2018年3月21日の報道によると、同市の弁護士マーラ・エリオットは、2013年に発覚したExperianのデータ漏洩事件が25万人以上のサンディエゴ市民に影響を及ぼしたと主張している。さらにその漏洩に関してExperianが消費者への警告を怠ったことは、カリフォルニア州の消費者保護法に違反した行為だったと訴えている。

ここで報告を終えると「去年、大騒ぎになったEquifaxと同じような話か」と誤解されるかもしれない。あるいは「数年前にデータを盗まれた企業が、顧客への告知をサボっていまさら訴えられたのか」と思われるかもしれない。しかし実際のExperianの事件は、かなり特殊だ。米国の州が信用情報機関を訴えたのには、それなりの理由がある。今回は、このExperianのインシデントの特異性と、そこから見えてくる問題について説明したい。

Experianの「データ漏洩事件」の特色

Experianは世界三大信用情報機関（Equifax、Experian、Transunion）のひとつだ。欧米で行われるクレジットカード審査やローン審査などのほとんどは、これら3つの機関に依存している。彼らは無数の消費者に関する信用情報や財務取引などを調査し、管理し、格付けしている。そのデータの信頼性こそが、彼らのセールスポイントになっている。したがって彼らが管理するデータは、一般企業や店舗が保持している顧客のデータ（たとえばTargetやベネッセが持っている顧客の個人情報）とは性質も用途も大きく異なっている。

つまり信用情報機関は「その人物が信用に足りるかどうか」を正しく判断できるようにするため、一般消費者の詳細な個人情報やクレジットカードの利用状況、キャッシングの返済状況などを正確に、リアルタイムに把握していなければならない。そのような目的で収集され、綿密にアップデートされている「一般消費者の機微情報」が外部に漏洩したというだけでも非常に深刻な事件になる……という点は、昨年のEquifaxのデータ漏洩騒動でも確認されたばかりである。

しかしExperianの事件の場合、特に問題視されているのは、漏洩までの経緯だ。同社は「第三者に侵害されてデータを盗み出された」というより、むしろ「詐欺師のためのオンラインサービスの運営者に直接データを販売していた」とも考えられている。つまり彼らは（たとえ故意ではなかったとしても）、一人の犯罪者から金銭的な利益を得ながら、消費者の機微な個人情報を手渡し、それが詐欺師たちに転売されたと主張されている。なぜ、そのようなことが起きたのだろうか？

「Experianデータ漏洩事件」の経緯

この事件を初めて伝えたのは、数々のサイバー事件を暴いてきたセキュリティジャーナリストのブライアン・クレブスだった。彼が初めてExperianのデータ漏洩を伝えたのは2013年10月だったのだが、事件の背景を時系列で説明するには、さらに前の2011年まで遡らなければならない。
　
2011年11月

クレブスは2011年11月、自身のブログ「Krebs on Security」で「Superget」というウェブサイトに関する調査結果を公開した。このSupergetは、米国市民の盗まれた個人情報を詐欺師たちに販売するための違法サイトだった。つまり、ID詐欺を企む犯罪者のためのオンラインサービスだ。

具体的には何ができたのか？　Supergetにユーザー登録をした詐欺師たちは、特定の市民を名前や都市などから検索したのち、その人物の様々な機微情報を購入することができた（ちなみにユーザー登録は無料）。狙った人物になりすまして虚偽の申請を行い、金銭を手に入れたい詐欺師にとっては、痒いところに手が届くようなサービスである。

当時のクレブスの報告によれば、Supergetは「毎日データベースを更新していること」や「100％近くの米国市民のデータを検索できること」を謳い文句にしていたという。

この2011年の記事には、実際のSupergetの操作画面や、個人データの販売価格の相場などが詳細に掲載されている。それは一回かぎりの特集記事としても充分に興味深い内容だった。しかしクレブスは「Supergetが販売しているデータの流出元」を探るべく、その後も独自の調査を続けていた。
　
2013年10月

それから約2年後の2013年10月20日、クレブスは再び「Krebs on Security」で、自身による調査結果を独占スクープとして公開した。

「無数の米国市民の社会保障番号や運転免許証番号、そして銀行口座やクレジットカードの番号を販売していた『ID泥棒のサービス』は、三大信用調査機関のひとつであるExperianからデータの大部分を購入していた」

彼の報告によれば、大量の米国市民の個人情報を売りさばいていたSupergetの運営者は、「hieupc」「traztaz659」として知られているハッカーで、その正体は当時24歳のベトナム人青年Hieu Minh Ngo（ヒエウ・ミン・ゴー）だった。彼はベトナムの自宅でSupergetを運営していた。

Hieu Minh Ngo（写真はKrebs on Securityより）

ヒエウ・ミン・ゴーは「米国でライセンスを得たシンガポール人の民間調査員」に成りすますことにより、米国市民のデータを定期的に購入していた。より厳密に言えば、まず彼は「シンガポールの真っ当な民間調査員」に成りすまして、オハイオの信用調査企業Court Venturesと契約し、そのデータの利用料金をシンガポールの銀行から毎月きちんと支払っていた。

この契約により、ゴーはCourt Venturesのデータベースだけではなく、同社と契約を結んでいるカリフォルニアの企業、US Info Searchのデータベースにもアクセスできるようになった。そこには約2億人以上の米国市民の情報が含まれていたと考えられている。

そしてExperianは2012年3月、このCourt Venturesを「顧客ごと」買収した。もちろんゴーも顧客の一人だったため、その買収が完了したあとも契約を続行することができた。クレブスが発表を行ったとき、すでにゴーはグアムで逮捕され、15件の刑事告発で起訴されていたのだが、その逮捕直前までの約10ヵ月間、彼は消費者のデータを吸い上げることができたものと考えられている（クレブスが入手した起訴状のPDF）

これが2013年に発覚した「Experianデータ侵害事件」だった。つまりクレブスは、最初からExperianを「データ侵害の被害者」として扱ったのではなく、「詐欺師たちにIDデータを売りさばくサービスの運営者にデータを販売してしまった組織」として報じている。
　
2013年12月

Experianは聴聞会で、逮捕されたゴーに関する主張の大筋を認めた。そしてCourt Venturesの買収前、あるいはその後も、ゴーの「不審な行動」を検出するために必要なデューディリジェンスに問題があったことも認めた。

本来ならばExperianには、米国の資格を取得している米国の企業のみにデータを販売するというポリシーがあった。そうであるにも関わらず、「ベトナムの居住者がシンガポールの銀行から毎月データの利用料金を支払っていること」に彼らが全く気づかなかったことのほうが不思議だとも思えるのだが、この点について詳細な回答が発表されることはなかった。

さらに2014年3月の「Krebs on Security」の報告によれば、Experianは「幸いにも、ゴーに販売していたデータが消費者に危害を与えたという主張は何もない」とすら示唆していたようだ。

それは企業や小売店から顧客のデータが漏洩したときの最初のコメントとして、頻繁に聞かれる常套句である。「●●社のハッキング事件で私の個人データが漏洩したため、私はこれだけの損害を受けました」と一般消費者が訴える、あるいは証明することは難しいので、これはほとんど意味のない発言だとも言える。

しかし個人情報を扱うプロの発言として考えるなら、それはあまりにも軽すぎる発言だったかもしれない。なぜなら彼らは、そのデータの価値を充分に理解しており、どのような犯罪に用いることができるのかも熟知していたはずだからだ。
　
2013年〜2015年

そして実際に、ゴーから消費者のID情報を購入した詐欺師たちは続々と逮捕され、次々と有罪判決を下されていった。数が多いので一人ひとりの紹介は省略するが、たとえばニュージャージー州とニューヨークを拠点に活動していた詐欺師チーム（少なくとも22人で構成されていた）のメンバーも、ゴーからデータを購入していたことが判明した。米国では数年前から、税金の払い戻しを米国内歳入庁に虚偽申請する手法の詐欺が急増している。このような詐欺を企む犯罪者たちにとって、ゴーの提供していたデータは非常に使い勝手が良かったに違いない。

Experianのデータ流出、ゴーの逮捕、そしてゴーの顧客たちの逮捕が伝えられていく中で、Experianは2014年3月のブログに次のようなコメントを発表した。
　
・サイバー犯罪やデータ侵害は話題を呼びやすいトピックだ。そして残念なことに、Experianに関する間違った情報も伝えられている。
・ここで明確にしておきたい。このインシデントで、Experianのデータベースはアクセスされていない。犯罪者にアクセスされたデータベースは、Experianとは別の企業、US Info Searchが管理していたものだ。
・我々がCourt Venturesを買収した後、我々は米国のシークレットサービスから「Court VenturesがInfo Searchのデータを第三者に転売しており、それはおそらく違法行為に繋がっている」という可能性を伝えられた。
・我々は、ゴーにデータの販売を許可したCourt Venturesの元オーナーを訴える所存である。

つまり、それはお詫びのメッセージではなく「我々には落ち度がなかった。買収した企業の単独の問題だった。我々のデータベースが犯罪者に侵害されたのではない。我々は風評被害に巻き込まれている」という主張だった。

もしもExperianが小売店だったなら、このような（被害者の反感を買いかねない）主張は掲載しなかっただろう。しかし信用情報機関は一般消費者を相手に商売をしているわけではない。したがって彼らが最も恐れるものは、データを盗まれた人々の反感ではなく、信用情報機関としてのイメージダウン、および株主離れのほうだったのではないかと考えられる。

しかし自身のデータが盗まれたのではないかと危惧する一般消費者から見れば、「Court Venturesの買収から10ヵ月近くに渡って組織の問題を見逃してきたこと」への説明が一切なく、また被害者たちに対する案内やアドバイスが何も記されていないことは、かなり不誠実に感じられたのではないだろうか。
　
2015年7月

すでに逮捕されていたゴーは、2015年7月14日に米国で有罪判決を受け、13年の禁固刑を言い渡された。このとき米国メディアは、ゴーを「2007年から約2億人の米国市民の個人情報にアクセスしていたハッカー」「そのデータをサイバー犯罪者たちに転売した人物」などの表現で伝えている。しかし盗んだデータの漏洩元については、まったく言及していない報道も少なくなかった。

容疑者の判決を報告した米司法省の発表も同様だった。同省のウェブサイトには、ゴーが1300人以上の顧客にデータを販売して200万ドル（約2億円）を得ていたこと、また彼のサイトで個人情報を売買された13673人の米国市民のデータが虚偽のタックスリターンに悪用されたこと、その被害総額は6500万ドル（約65億円）になることなどを詳細に伝えているのだが、そこにはデータの漏洩元に関する記述はない。

しかしゴーの有罪判決が報じられた3日後（2015年7月17日）、Experianはカリフォルニアで集団訴訟を提起されている。この集団訴訟の原告は、ゴーが提供したサービスの影響を受けたすべての消費者（データ漏洩の被害者となった消費者本人）に対してExperianが通知を行うこと、そして被害者に無料の信用情報監視サービスをExperianが提供すること、また同社が「ゴーから得ていた利益」の全額を被害者への補償に当てることなどを求めるものだった。
　
2018年3月

そして2018年、ようやく表題の米サンディエゴ市による訴訟が起こる。同市の弁護士マーラ・エリオットは、Experianのデータ漏洩事件が25万人以上のサンディエゴ市民に影響を及ぼしたと主張しており、また漏洩に関してExperianが警告を行わなかったことは、カリフォルニア州の消費者保護法に違反した行為だったと訴えている。結果として、Experianから漏洩したデータは1万3000件以上の虚偽の納税申告を引き起こし、それらに対して米歳入庁が支払った払戻金は6500万ドルにのぼった、とエリオットの事務所は主張している（後半の主張は米司法省が発表した内容と同様である）。

信用情報機関と消費者

つまり今回の訴訟騒ぎは、2011年のクレブスによる「詐欺師御用達の盗難ID販売サイトSuperget」の報告から始まった、長い長い物語の最新情報だ。ここで改めて考えさせられるのは、2011年にデータの転売が発覚してから2018年にサンディエゴ市がExperianを訴えるまでの長期間、真の被害者となった市民たちは、自分の情報がどうなっているのかも分からないまま放置され続けてきていたという問題だ。データを転売していたハッカーは逮捕され、禁固刑を下された一方、ハッカーにデータを売ってしまった組織の問題は軽視され、また被害者となった市民には何のケアも行われていない。

それどころか、もしもクレブスが2011年にSupergetの活動を研究していなかったなら、いまでも北米市民は「信用情報機関から犯罪者にデータが販売されていたこと」を知らないまま、単に一人のベトナム人が米国人の個人情報を詐欺師に販売した事件としてニュースを聞いていたのかもしれない。あるいは漏洩の事実に誰も気づかなかったという可能性もあるだろう。

Experianは「IDデータアクセスの管理と信頼性」を専門としている組織だ。彼らは業務の一環として、ID詐欺対策や検証に関するアドバイスも行っている。もちろんゴーがCourt Venturesと契約をする際、非常に高度な成りすましを行っていたという可能性は高いのだが、それでも「約10ヵ月間に渡り、シンガポールから送金を行っている犯罪者に米国市民の信頼情報を販売していたこと」にExperianが気づかず、それが発覚したあとにも誠実な態度を示さなかったのは、さすがに何かがおかしいのではないかと思わざるを得ない。

Experianに続いて、昨年2017年にはEquifaxのデータ侵害事件（および同社の事件発覚後のスキャンダル）が北米に大きな混乱を引き起こした。つまり三大信用情報機関の二つがデータを漏洩した現在、もはや北米市民の多くは個人情報の安全性に何の望みも抱いていないのかもしれない。それが日本で起きた事件でなかったことは幸いだ、と考える向きもあるだろう。しかし本当にそう言い切れるだろうか？　

私たちの知らないところで、私たちの個情報に何が起きているのか。私たちの詳細なID情報や、クレジットカードの利用状況のデータに触れることができるのは誰なのか、それはどのように扱われ、管理され、どのような審査を経て他者に渡されているのか。私たちの多くは、それらについて何も知らないまま生活している。そのデータが侵害され、犯罪者たちの手に渡ったときでさえ、私たちには何も伝えられないかもしれない。