クレジットだけじゃない。オンラインで個人情報が盗まれると何が起きるか図解

オンラインでの個人情報の窃盗は、世界中で急拡大しているサイバー犯罪です。これは、新しい偽アカウントの開設、被害者のクレジットスコアへの悪影響、還付金の横取り、法の目をかいくぐるための偽装IDの使用など、さまざまな方面で悪用されています。

オンラインでプライバシーを保護するためには、企業や個人は適切な注意を払う必要があります。また、データ漏えい違反を避けるための措置を講じることも、強く求められています。2020年にオンラインで最も盗まれた個人情報は、クレジットカード情報が圧倒的に多く、全体の41.8％を占めています。

ID窃盗とは、金銭などの利益を詐取したり、他人の評判を落としたりするために、個人情報や財務情報を盗み出すことです。オンラインでのID窃盗の手口には、被害者をおびき寄せて個人情報を盗み取るフィッシング詐欺や、氏名や住所、電話番号、写真などの個人を特定できる情報を検索・収集し、ネットなどで公開・共有するDoxxing、Bluetoothの脆弱性を悪用したり、Webサイトをハッキングしたりして運転免許証、クレジットカード、銀行口座の番号を盗むことなどが挙げられます。また、IDには、固有の生体認証データや患者識別番号、医療記録なども含まれます。

米国では1998年に「ID窃盗防止法（ITADA: Identity Theft and Assumption Deterrence Act）」が可決され、ID窃盗が犯罪として公式に認められました。ITADAでは、「ID窃盗」とは、罪を犯す意図、または犯罪を幇助（ほうじょ）する意図を持って、他人を識別する名前や番号を故意に移転、所有、使用することと定義しています。

ITADAでは、3種類のID窃盗を定義しています。

• 「新規アカウント」窃盗：他人の個人情報を盗み、その人の名前でIDカードや口座を開設し、相手になりすますこと。
• 「既存アカウント」窃盗：既存の金融口座に関する情報を盗み、取引や口座のアクセスに悪用すること。
• 「合成」ID窃盗：ID窃盗者が盗んだ情報を架空の情報と組み合わせて、新しい偽のIDを作成すること。

オンラインIDの窃盗によって派生しうるさまざまな形態を見ていくと、大きく2つのカテゴリーに分けることができます。1つは、実際の個人情報の窃盗です。窃盗犯は被害者の個人情報を盗んで被害者になりすまし、金銭的、医療的、その他の利益を得ようとします。もう1つは、IDの乗っ取りで、被害者の既存のアカウントをハッキングすることです。一般的に、金融取引に関する通信を傍受して、被害者のアドレスを不正に犯罪者のアドレスに転送することで実行されます。

オンラインでの個人情報の盗難は、単独の犯罪というだけでなく、ほかの犯罪の誘発につながります。米国のNPO「ITRC: Identity Theft Resource Center」は、ID窃盗が金融犯罪に限定されないことを指摘しています。そのため、ID窃盗をさまざまな個人情報詐欺の前兆であると定義する研究者もいます。ID窃盗リソースセンターでは、オンラインでのID窃盗を以下の6つのカテゴリーに分類しています。

金融アカウントの窃盗には、商品、サービス、クレジットから利益を得るためや、銀行口座にアクセスするために、他人の情報を使用することが含まれます。

これには、被害者の身元情報の窃盗と、アカウントの乗っ取りという2つの種類があります。前者の場合、窃盗犯は盗んだ個人情報を使って、新しいクレジットカード口座を開設したり、被害者の名前で小切手を受け取ることができる小切手口座を開設したりします。アカウント乗っ取りの場合には、窃盗犯は盗んだ個人情報を利用して、被害者の既存の口座にアクセスすることができます。

金融アカウントの窃盗の結果、被害者は個人情報の盗難の影響を是正するのに数カ月から数年かかる可能性があり、債務額が増えクレジットスコアが低くなる可能性があります。

医療関係の個人情報窃盗の場合、窃盗犯は同意なしに被害者の名前を使用したり、その他の情報と一緒に悪用したりします。例えば、保険、製品やサービスに関わる医療給付の取得、享受したとされる医療製品やサービスの払い戻し詐欺などです。

これらの医療詐欺は、被害者の医療記録を操作することにつながり、患者に対して誤った医療上の決定がなされた場合、命に関わる結果を招く可能性もあります。

犯罪者によるなりすましとは、犯罪者が警察に逮捕されたときに他人になりすますことです。

被害者は、窃盗犯が自分になりすまして犯罪を犯したことや、身に覚えのない違法行為について責任を問われる可能性に気づかないことが少なくありません。裁判所に出頭するように呼ばれたとき、運転免許証の更新を申請したとき、交通違反で警察に止められたとき、免許証が停止されたときなどに、初めて何が起こったのかを知り驚くことになります。犯罪者によるなりすましによって、雇用機会が失われる可能性もあります。

この窃盗は、ほかのオンラインID窃盗とは異なり、窃盗犯は入手したすべての人の個人情報を組み合わせて、新しい架空の身元を作成します。社会保障番号は、実際の所有者とは異なる名前と生年月日と組み合わせることができます。

架空の身元IDを使った犯罪を追跡することは非常に困難です。これは、クレジットレポートなどの被害者の記録に直接反映されないためです。架空の身元への悪用では、すべての被害者が影響を被ることになります。

確定申告のID窃盗は、盗んだ個人情報を使用して申告書を提出し、被害者の還付金を奪う行為です。米国の連邦資金の盗難としては、医療保険、失業保険に次いで3番目に大きいものとなっています。還付金の遅延や盗難のほか、窃盗犯が盗んだIDを使用して、雇用を得る可能性さえあります。

被害者が税金を申告して所得額が合わない場合には、米国国税庁は被害者を疑わしいとマークすることになります。被害者は、未請求の利益に対する税金が課せられた場合、深刻な経済的影響を被る可能性があり、税金の監査のための長期的なストレスを抱えることになりかねません。

子どもの個人情報の窃盗は、親族が子どもの名前でローンやクレジットカードを利用することで発生します。子どもには、自分の信用報告書をチェックしたり監視したりする必要がないので、成人してローンが必要になるまで、詐欺行為に気づきません。

この種のID窃盗は解決までに何年もかかり、家や車の購入ができなくなる可能性や、ローンの金利が高くなる可能性があります。カーネギーメロン大学CyLabの調査では、対象となった4万人の子どものうち、10.2％がID盗難の被害に遭っており、成人と比べて51倍も高い確率となっています。

オンラインでの個人情報の窃盗は、ほかの多くのサイバー犯罪の出発点であることがわかりました。経済的損失だけでなく、生命を脅かす医療リスク、冤罪の危険性、信用枠の毀損など、被害者にとって回復困難な状況につながる可能性が少なくありません。

最悪の事態を避けるために、サイバーセキュリティ対策を強化しましょう。

出典

• Stacey L. Schreft, “Risks of Identity Theft: Can the Market Protect the Payment System?”, A review IEEE Access
• S. Smadi, N. Aslam and L. Zhang, “Detection of online phishing email using dynamic evolving neural network based on reinforcement learning”, Decis. Support Syst., vol. 107, pp. 88-102
• Asif Karim, Sami Azam and Krishnan Kannoorpatti “Efficient Clustering of Emails into Spam and Ham: The Foundational Study of a Comprehensive Unsupervised Framework”, A review IEEE Access, vol. 8
• Tariq Rahim Soomro “Identity Theft and Social Media”, A review ResearchGate