こんにちは。『お金に困らない生活(インデックス投資ブログ)』管理人のそーたろー(@sotarowassyoi)です。
ここはどんなブログなの?
- お金、投資、資産運用、副業が中心のブログです。
この記事を書いたそーたろーはこんな人です。
- ITサービス職で20年以上のキャリアがあります。
- 2008年から資産運用を始め、ネット証券・ネット銀行の安全な使い方に長けています。
この記事は次のような人にオススメです
- 個人情報流出時の具体的なアクションについて知りたい人
この記事の目的
2020年7月にサクソバンク証券で個人情報流出事件が発生しました。
事件は外部からの攻撃によるもので、実際に口座開設者の個人情報が盗まれています。
事件についてサクソバンク証券は2020年9月17日に報告書を発表しており、その中で個人情報が流出してしまった対象者が取るべき対応が示されていたので紹介します。
【事件の概要と報告書】サクソバンク証券の個人情報流出
事件の概要を簡単にまとめると、
といった感じです。
サクソバンク証券ではこの事件の後に二要素認証を導入するなどの対策が取られています。
以下、今回の報告書と抜粋を紹介します。
【調査結果のご報告】サイバー攻撃による個人情報流出について | サクソバンク証券
当社が外部委託していた顧客情報管理システムが第三者による不正アクセスを受け、当該システムを格納するサーバー内に保管されたお客様の個人情報の一部が流出したことが確認されました。
この度の不正アクセスは、海外のハッカー集団によるものである可能性が高く、
不正アクセスを検知した後直ちに調査を行い、前記サーバーへの外部からのアクセスを遮断するよう措置を講じ、専門的知見を持つ第三者機関がすでに検証を開始しています。
SaxoTrader PROやSaxoTraderGoなど、当社取引システムへのログインに必要なパスワードやお客様のお取引口座情報等は、親会社であるサクソバンクA/Sが管理するサーバーで保管されており、今回の不正アクセスによる情報流出はないことを確認しておりますので、お取引等への影響やその他情報流出はございません。
お客様へのお願い(不審な電話やメールがあった場合のご注意など)疑わしい情報源から何等かの連絡を受けた場合、または個人情報の不審な利用に気付いた場合は、至急、当社にご連絡を頂くとともに、必要に応じてご利用の銀行、クレジットカード会社、その他の金融機関など関係先へもご連絡をお願いいたします。
対象者が取るべき対応について
今回の報告書ではQ&A形式で具体的な質問に答えています。
ポイントを簡単にまとめると、
といった感じです。
以下、今回流出した情報の詳細と流出してしまった人が取るべきアクションが示されています。
お客様から多く寄せられるご質問について回答申し上げます。 | サクソバンク証券
どのような個人情報が流出したのですか?
この度のサーバー攻撃では、以下の情報が流出したことが確認されています。
ユーザーID、氏名、生年月日、住所、電話番号、電子メールアドレス
また、複数名の本人確認書類の漏洩も確認されております。
個人情報流出に際して気を付けることはありますか?
お客様におかれましては、身に覚えのない連絡があった場合や、個人情報を不正に利用された事実があった場合は、下記お問い合わせ窓口までご連絡賜りますようお願い申し上げます。また、不審なメールなどは開かないようにお願いいたします。 不審な勧誘や電話がございましたら、以下お近くの消費生活センターや消費者庁へご連絡ならびにご相談いただけますようご案内申し上げます。
国民生活センターの相談窓口
全国の消費生活センター等(国民生活センターホームページ)
http://www.kokusen.go.jp/map/index.html国民生活センターの相談窓口
消費者ホットライン局番なし 188番
http://www.caa.go.jp/region/shohisha_hotline.htmlまた、メールアドレス流出により、迷惑メールが届く可能性が考えられます。対策方法については以下ホームページをご参照ください。
一般財団法人日本データ通信協会ホームページおよび迷惑メール相談センター
http://www.dekyo.or.jp/soudan/index.html迷惑メール対策
http://www.dekyo.or.jp/soudan/taisaku/
本人確認書類の流出に対してはどのような対策を取ればよいのでしょうか?
本人確認書類の悪用の防止
以下の個人情報信用機関で「本人申告」を行うことで、信用情報交流ネットワークCRIN(Credit Information Network)に紛失・盗難の登録をすることができます。CIC:https://www.cic.co.jp/declaration/index.html
JICC : https://www.jicc.co.jp/kaiji/loss/
全国銀行協会:https://www.zenginkyo.or.jp/pcic/return/
(*)全国銀行協会の登録で必要な遺失届出整理番号は以下となります。
愛宕警察署・管理番号 2020-0490マイナンバー利用の一時停止
地方公共団体情報システム機構(J-LIS)が営むマイナンバー総合フリーダイヤル (0120-95-0178)で利用一時停止を行うことができます。マイナンバーの番号変更
お住まいの市区町村で手続きが行えます。お手続き方法は各市町村のホームページ等でご確認ください。
疑わしい情報源から何等かの連絡を受けた場合、何をしたらいいでしょうか?
お客様におかれましては、身に覚えのない連絡があった場合や、個人情報を不正に利用された事実があった場合は、下記お問い合わせ窓口までご連絡賜りますようお願い申し上げます。また、不審なメールなどは開かないようにお願いいたします。 不審な勧誘や電話がございましたら、以下お近くの消費生活センターや消費者庁へご連絡ならびにご相談いただけますようご案内申し上げます。国民生活センターの相談窓口
全国の消費生活センター等(国民生活センターホームページ)
http://www.kokusen.go.jp/map/index.html国民生活センターの相談窓口
消費者ホットライン局番なし 188番
http://www.caa.go.jp/region/shohisha_hotline.htmlまた、メールアドレス流出により、迷惑メールが届く可能性が考えられます。対策方法については以下ホームページをご参照ください。
一般財団法人日本データ通信協会ホームページおよび迷惑メール相談センター
http://www.dekyo.or.jp/soudan/index.html迷惑メール対策
http://www.dekyo.or.jp/soudan/taisaku/
個人情報の悪用とその対策
流出した個人情報はダークウェブで売買されると言われています。
ダークウェブはダークネット(インターネットを使用するが、アクセスするために特定のソフトウェア、設定、認証が必要なオーバーレイ・ネットワーク)に存在するWorld Wide Webコンテンツ。ダークウェブはWeb検索エンジンによりインデックス化されていないWebの部分
Wikipedia
こうして不正に売買された個人情報がどのように利用されるかはわかりません。
一般に言われているのが攻撃者が購入し、サイバー犯罪などに利用されるケースです。
以下のようなことが想定されるでしょうか。
こうした行為が発生した場合の取るべきアクションとして相談センターなどが示されているわけですが、相談したら排除してもらえるでしょうか。
おそらくアドバイスはもらえるでしょうが、具体的な実効力のある施策が講じられる可能性は低いのではないかと思います。
明らかな犯罪行為(ストーキング、迷惑電話)であれば警察が動いてくれるかもしれませんが、フィッシング詐欺については自分で気をつける以外にないのではないでしょうか。
この点については情報が流出しようがしまいが変わりのない部分でしょう。
また個人情報には生年月日も含まれますが、パスワードにこうした第三者に推測されやすいものを使わないことも定番の対策です。
そもそも個人情報を構成する要素(電話番号、メールアドレスなど)は目的があって利用されるものであって、それ自体が外部の目に触れてはならないものではありません。
従って個人情報については普段どおりのセキュリティ対策が維持できていれば、自衛の部分で個人が追加的にやるべきことはあまりないかもしれません。
本人確認書類については悪用される恐れがあるため必要に応じて「本人申告」を検討し、実際に悪用された場合は警察・金融機関への連絡が必要でしょう。
【追記】金融庁から行政処分が出ています
今回の事件について金融庁はサクソバンク証券に対し業務改善命令を出しています。
#サクソバンク証券 の顧客情報漏えい事件に対して金融庁が行政処分を下しました。
理由は以下のとおり
🔷管理が不十分だった
🔷再発防止策が不十分である経過を見守りましょー🐹#ブログ更新https://t.co/rezR4mFAXD
— そーたろー@王国DIYエバンジェリスト (@sotarowassyoi) September 21, 2020
引き続き経過を見守っていきましょう。
まとめ
サクソバンク証券の個人情報流出事件で対象者が取るべきアクションを紹介しました。
今回対象でない人もこうした対処を知っておけば安心ではないでしょうか。
