漏洩がもっともよく起きる場所とは?
詐欺師たちに何より興味があるのはお金である。そこで一番の対象となるのが、銀行や金融機関である。ロシアの国内企業の情報セキュリティを専門とする会社「InfoWatch」の2018年の調査結果によれば、ロシア国内のすべてのデータ漏洩の25%がこうした会社で起こっていることがわかっている。また18%(それほど多くはないが無視できない)が国家機関や治安機関で起こっている。またハッカーたちはハイテク企業にも関心があり(17.1%)、続いて、自治体の機関、つまり市役所、文化会館、キャンプ、書類の交付センターなど(12.5%)も対象となっている。そしてさらに商店やホテル、ホステル(4.7%)、医療機関(4.7%)、教育機関(3.1%)と続く。一方、交通機関や産業分野では、情報の漏洩がほとんど認められないという (1,6%)。
誰が悪いのか?
大多数(71.8%)の場合、企業や国家機関で高い地位にある職員に責任がある。他の国ではこの数はかなり低く、55,7%しかない。また企業の代表自らがデータを漏洩している場合もあり、この割合は15,6%となっている。それ以外では、外部の何者か(7,9%)、元職員(4,7%)となっている。
漏洩はどのようにして起こるのか?
ロシアでは依然として、情報は紙の形で保管されている場合がほとんどである。デジタルの機能ももちろんあるが、それが動かなくなった場合のことを考えてのことである。そこで漏洩の50%はこうした書類をぞんざいに扱うことが原因となっている。その他の漏洩は、ブラウザ、電子メール、クラウドサービス、USBフラッシュドライブ、スマートフォン、メッセンジャーなどから起こっている。
たとえば2018年8月、モスクワで個人情報が捨てられているのをモスクワの女性が発見した。大量の書類とともに警察と移民局がそのまま使われなくなっていたのである。書類の中には証明書のコピーやモスクワ市民の古いパスポート、刑事事件や事務に関する書類、未成年犯罪者たちの名簿、職員の個人情報など、様々なものが含まれていた。
のちにこの事件については、内務省モスクワ局の広報が、調査を開始したと発表し、犯人には「責任を問う」と述べていた。
2018年の大規模な情報漏洩では、ロシア最大のインターネット検索エンジン「ヤンデクス」が関与していることが明らかになった。
「ヤンデクス」の検索システムでGoogle Docsで開かれているすべてのファイルにアクセスできることが判明したのである。そのファイルの中には、銀行や国家機関の内部書類が含まれていた。一昼夜以内に、「ヤンデクス」はGoogle Docsの内容を検索できなくし、漏洩したのは、所有者がログインやパスワードなしでのハイパーリンクを許可したファイルだけだと説明した。
データ漏洩は外からの影響によってのみ起こるのか?
実は内部の職員自身が報酬を目当てにこれを行う場合もある。
大手通信オペレータ会社「ヴィムペルコム」のマネージャーであるセルゲイ・ゴルベフは、ロシアの憲法で通話の秘密を暴露することが禁じられていることをよく知っていた。しかし、ある人物が利用者Bについて少しだけ「情報提供」してくれないかと持ちかけてきたのだ。それは報酬と引き換えに、この利用者の通話とショートメッセージに関する個人情報をすべて報告するというものであった。ゴルベフは承諾した。しかしこれは彼にとって悲しい結果をもたらすこととなった。彼は解雇され、10万ルーブル(およそ170,000円)の罰金を課された。これはサンクトペテルブルグにある裁判所の合同プレス部が、自身のチャンネル「テレグラム」で伝えたものである。
ゴルベフがこれで一体いくら稼いだのかは分からない。一方、ヴォルゴグラードの社会保護センターで働く31歳のリュボーフィ・アガニナは2016年10月から2017年5月にかけて、他人のデータを利用して410万ルーブル(およそ710万円)を手に入れていた。
彼女は知り合いから入手したデータを元に、その人々に対する社会手当支給の指示書を書き、それを手当を受け取る権利のない人物の銀行口座に振り込まれるようにし、それを詐欺師たちが受け取り、自分のものにしていたのである。
共犯者には3年半の収容所収監が言い渡された。一方のアガニナは4年の禁固刑を受けることになっていたが、ロシアの法律では子供がいる場合、その子供が14歳になってからしか刑を実行できないことになっているため(現在息子は7歳)、およそ7年の執行猶予がついた形となった。
過去に銀行からの漏洩はあったか?
もちろんあった。2018年の秋、phreaker.proというネットのページで、犯人たちはズベルバンクの職員たちのデータベースを公開した。これは容量にしておよそ47メガバイトのテキストファイルであったが、その中には42万1,000人以上の職員の名前とオペレータシステムへのログイン名が含まれていた。
また今年の6月初旬には、ロシアの3つの銀行OTP、アルファ、ホームクレジットで働く90万人の職員のデータベースが自由にアクセスできる状態となった。情報の中には、氏名、電話番号、パスポート番号、職場などが含まれていた。漏洩はロシアの情報セキュリティ会社DeviceLockのソフト開発者によって発見された。
なぜこのようなことが起こるのか?
InfoWatchはいくつかの理由を挙げている。まずロシアでは情報保護の措置が講じられるのが、デジタル化よりも遅いということ。また研究者らは、ロシア社会では、他人の情報に対する責任感というものが確立されていないからではないかと指摘する。
通信オペレータ会社のマネージャーたち、銀行員、警察官たちは、これらのデータを自分のものであるように感じており、自分の手元にある情報を自分の権限で扱えると考えているのである。
どうすべきか?
研究者たちは大手企業や政府組織は自分たちのデータを外部からの攻撃からかなり安全に保護していると見ている。というわけで、現在の主要な目的は職員たちにデータの扱い方を教えることである。
たとえば銀行の「ユニクレジット」、「VTB」、「オトクルィティエ」は職員がモニターをスマホで撮影することを禁じている。さらに「オトクルィティエ」は社内文書、プレゼンテーション、クライアント情報を撮影すること、職場での会話を録音することを禁じている。
しかしこれまでに漏洩があった銀行が同じような措置を取るかどうかは定かではない。