2015年 12月 11日　COREY NACHREINER 著

情報セキュリティとは、究極的にはデータの保護に他なりません。盗まれたデータは、犯罪者にとっては資金となります。これまで、犯罪者が盗んだクレジットカード情報を現金化するのは容易いことでした。クレジットカードの基本情報とわずかな個人情報さえあれば、盗んだカードで簡単に商品を購入できました。2014 年は、小売業界で多くのデータ流出が発生し、POS システムから何百万件ものクレジットカード記録が盗まれました。

セキュリティ動向予測のリンク：https://youtu.be/eATe_am6A6E

けれども、不正検出システムの精度が向上するにつれて、偽装クレジットカードでの購入が難しくなっており、現在は、盗んだクレジットカード情報に、盗む行為に見合う価値がなくなってきています。そのために、以前と比べると、個人の ID を完全に盗み取ろうとした時に必要となる、個人識別情報（PII）の価値が高くなりました。地下社会における PII の価値は、盗み取られた情報に含まれる個々のデータの数にほぼ比例します。名前、メールアドレス、住所、クレジットカード情報、誕生日、社会保障番号（日本で言えばマイナンバー）などが含まれていれば、名前とメールアドレスだけと比べると、はるかに高い価値があります。そのため、クレジットカード情報だけでは 50 セントから 1 ドル程度であるのに対し、PII（犯罪組織では「フル（全部という意味）」と呼ぶようです）の場合は、社会保障番号が含まれていることから、10 ～ 20 ドル程度に価値が跳ね上がるようです。また、医療記録についても、さまざまな PII データと 社会保障番号が含まれていることから、同様に高い値段で取り引きされています。2015 年には実際に、医療データを狙った攻撃が多く発生しました。

それでは、医療記録より価値が高いのはどんな情報でしょうか。それは間違いなく、学生のレコードです。子どもたちが学生として過ごす間に膨大な量のデータが記録されるのは、周知のとおりです。そして、その中には、最も価値の高い PII データの 1 つである、医療関連のレコードも含まれます。このような情報が教育機関の比較的オープンなネットワーク環境に置かれているという現状を加味すれば、2016 年は学生のデータを狙うサイバー犯罪が増加することが十分に予想されます。

教育機関の IT 運用を担当されている方は、来年はハッキング対策を怠らないようご注意ください。

－ Corey Nachreiner, CISSP （@SecAdept）