タイ国民およそ3,610万人分の個人情報が、ダークウェブ上の闇フォーラムで売りに出されていると、複数のメディアが報じた。出品者は、氏名や電話番号、住所などを含むデータベースだと主張しており、その規模はタイの成人人口の半分から7割に相当するという。ただし、データが本物かどうかは、独立した形では確認されていない。
売られているとされるデータの中身
報道によれば、闇フォーラムに出品されたデータベースには、フルネーム、電話番号、生年月日、性別、現住所が含まれるとされる。件数はおよそ3,610万件で、これはタイの成人人口の50〜70%に当たる規模だという。 価格は10万米ドル、日本円にしておよそ1,600万円(約330万バーツ)で、追跡の難しい暗号資産モネロ(XMR)での支払いが求められている。出品者はデータの出どころについて、政府機関と民間の複数のソースから得たものだと述べているが、具体的な機関や企業の名前は明らかにしていない。 この情報は、ダークウェブを監視するメディアが最初に伝えたものだ。現時点では、流出元とされる機関や企業がこの主張を認めても否定してもおらず、データが新たに盗まれたものなのか、過去の流出を寄せ集めたものなのかも分かっていない。
なぜ怖いのか、悪用されるリスク
仮にこのデータが本物だった場合、悪用の幅は広い。専門家は、なりすましによる詐欺や、携帯電話のSIMを乗っ取る「SIMスワップ」、金融詐欺、アカウントの乗っ取り、そして相手を信用させて情報を聞き出すソーシャルエンジニアリングといった危険を指摘している。 氏名と電話番号、生年月日、住所がそろえば、本人になりすまして各種サービスにアクセスする入り口になりかねない。ただでさえタイでは、見知らぬ番号からの詐欺電話やSMSが社会問題になっている。手元に個人情報をそろえた相手から電話をかけられれば、本物の連絡だと信じてしまう人も増えかねない。
繰り返されてきたタイの情報流出
タイで大規模な個人情報の流出が取り沙汰されるのは、これが初めてではない。過去には、高齢者関連の政府部局から約1,970万件の個人情報が流出したとされる事案や、ワクチン接種の登録情報をめぐって数千万人規模のデータが脅迫の材料にされた例などが報じられてきた。国民のほぼ全員分とされる医療関連データが、わずかな金額でやり取りされたという話まである。 タイには個人情報保護法(PDPA)があり、個人情報保護委員会(PDPC)が違反した企業への制裁を強めてはいる。しかし、流出が官民を問わず繰り返されている現状を見ると、制度が実態に追いついていない面は否めない。タイでは個人情報の流出が半ば常態化しており、闇市場では国民のデータが商品のように繰り返し売買されているとも指摘される。背景には、官民の各システムでセキュリティ対策にばらつきがあることや、流出が起きても責任の所在があいまいになりがちな構造があるとされ、今回の件もその延長線上で受け止める専門家は少なくない。
不審な連絡から身を守る基本
個人情報がどこかで出回っているかもしれない以上、一人でできる対策は限られる。それでも、被害を防ぐ意識を持つことはできる。 まず押さえておきたいのは、電話番号や送信元の名前は簡単に偽装できるという点だ。相手が公的機関や銀行、宅配業者を名乗っても、画面の表示だけで信用してはいけない。心当たりのない連絡で口座番号やパスワード、ワンタイムコードを求められたら、いったん電話を切り、公式サイトに載った正規の窓口へ自分からかけ直すのが安全だ。 SMSやメールに記載されたリンクは安易に開かず、銀行や決済サービスは必ず公式アプリから確認する。重要なアカウントに二段階認証を設定しておけば、万一パスワードが漏れても乗っ取りを防ぎやすい。携帯電話会社に、SIMの再発行時は本人確認を厳しくするよう頼んでおくのも、SIMスワップへの備えになる。お金や個人情報が絡む話ほど、その場で結論を出さず一呼吸おく習慣が、結局は最大の防御になる。
これを受けてデジタル経済社会省は、個人情報保護委員会(PDPC)と国家サイバーセキュリティ庁(NCSA)に調査を指示した。当局はサンプルのデータを抜き出し、新たに盗まれた情報なのか、過去の流出を寄せ集めたものなのかを詳しく調べているが、現時点でデータが本物だとは確認していないという。出品が事実かどうかは、今後の調査結果を待つことになる。とはいえ、自分の情報がどこかで売買されている可能性は、もはや誰にとっても他人事ではなくなっている。身に覚えのない電話やメッセージ、不審なリンクには、これまで以上に警戒しておきたい。