韓国人の80%は個人情報が流出状態だったという話

韓国で、個人情報74億件(!)を収集し、これを利用して利益を得たとして、20代の容疑者3名が起訴されました。

収集された個人情報の中には(犯人曰く)韓国人の80%の情報が含まれていたそうです。


KBSの記事からです。

「韓国人80%がバレた」...ハッカーがパスワードを見つけた方法


(前略)

ソウル東部地検サイバー操作部(部長検事キム・ポンヒョン)は、個人情報74億件を収集し、これを利用して億規模の利益を得た23歳のチェ某氏など3人を情報通信網法違反の疑いで先月28日、拘束起訴しました。

これらはWindowsライセンス認証プログラムやExcelファイルに偽装したマルウェアを流布し、約4年間にわたり、いわゆる「ゾンビPC」(まるでゾンビのように、ハッカーにリモートコントロールされるPC)1万2千台を管理してきました。

ゾンビPCとなった後は、ハッカーが使用する制御サーバからリモートでファイルを開閉したり、キーボード入力値を横取りすることが可能となります。主要なポータルサイトのIDとパスワード、名前、住民登録番号、携帯電話番号、電子メール、アドレスなどの個人情報を抜き出すことも難しくないでしょう。

(中略)

個人情報収集の過程で重要な役割を果たしたのは、中国のボイスフィッシング組織のPCです。この1台のPCのみで個人情報54億件を違法収集したので、ゾンビPCの中でも、まさに「大物」であったとみることができます。

このPCをハッキングしたのは偶然ではありませんでした。被告の1人である32歳のカン某氏は、過去に中国のボイスフィッシング組織のオフィスで働いていた経験があります。そのPCに韓国人と中国人の個人情報がどの程度含まれているか、よく知っていたカン氏は、チェ氏と共謀してPCを目標に攻撃しました。

カン氏は中国人から直接、個人情報20億件を買い入れてもいます。

(中略)

被告人は、このようにして得た個人情報をデータベース(DB)にして徹底的に管理していました。韓国の成人国民の多くが実際に検索できるほど広範かつ正確なDBです。このDBに記録された個人情報の出処を明確に知ることは出来ませんが、過去に大規模な流出事件が発生したネクソンとSKコミュニケーションズ(ネイト)の個人情報も含まれていました。

被告人は、個人情報DB内のパスワードが変更されたとしても慌てません。人々が普段、パスワードを変更する時、文字列は変更せずに特殊文字だけを定期的に変えて使う習性をよく知っていたからです。頻繁に使用される特殊文字のいくつかを代入してみれば、簡単にアカウントを盗むことができたということです。

この点でドキッとした方多いでしょう。もうそうしないように検察は呼びかけています。使用しているインターネットサイトのアカウントのパスワードを低規定に変えて、特に普段よく使っていた文字列は使用しないなど、細かい注意が必要です。

20〜30代の若い年齢の被告人たちはハッキングを生業としていました。検察は、彼らが何の罪悪感もなしに不法に収集した個人情報を販売し、お金になるのであれば何でもハッキングしてきたと言います。また、他人のPCを勝手に制御することが出来るために優越感を感じていたものと見られると説明しました。

(後略)

KBS「"한국인 80%가 털렸다"..해커들이 비밀번호 찾아낸 방법(「韓国人80%がバレた」...ハッカーがパスワードを見つけた方法)」より


74億件も驚きですけれど、そのうちの54億件が1台のPCから収集されたってことも驚きです。
ボイスフィッシング組織は韓国人をターゲットにしたものだったのでしょうね、収集された個人情報の多くは韓国人と中国人のものだったそうです。

残り20億件は中国の業者から買った、と…すると、記事で最初に出てくるマルウェアによる個人情報収集はほとんど行われていなかったと見て良さそうです。

「個人情報を抜き出すことも難しくないでしょう」とか、思わせぶりなことを書いていますけれども、こういう紛らわしい書き方をするのは韓国メディアの悪い癖です。(リモートPCは、DDoS攻撃に使われた模様)

彼らは「自力で」個人情報を集めたわけではなく、既に集められていた個人情報を流用したに過ぎませんね。
もちろん、それも犯罪ですが、韓国人の80%は既に個人情報が流出状態だったという事が今回の事件で発覚したというのが正確なところです。


パスワードを定期的に変更することは、以前は推奨されていました。最近では、逆に非推奨となっています。(アカウントに不審なログインの痕跡あったり、情報流出があれば別ですよ)

頻繁にパスワードを変更させると、忘れないように単純なパスワードにしたり、それこそ記事にあるように特殊文字だけ変更したりと、安易なパスワードになってしまう危険性が高いためです。

それより少し面倒でも最初にウェブサービス毎に個別のセキュアなパスワードを設定してそれを使い続ける方が安全とされています。