消費者向けサイバーセーフティブランドのノートンが2024年11月6日、esports Style UENO(東京・台東区)にて、メディア向けイベント「Norton ダークウェブ体験会」を開催した。

本年12月2日に従来の「健康保険証」が「マイナ保険証」に切り替わるが、企業で管理しているマイナンバーなどの個人情報がサイバー攻撃により数万、数十万件単位で流出したおそれのある事件が多数発生するなど個人情報保護に関する脅威が指摘されている。

同イベントは、不正に取得された個人情報が売買される「ダークウェブ」の体験会を実施することで、マイナンバーカードをはじめとする個人情報取り扱いの認識やサイバー犯罪に対する危機感の底上げを図るために開催された。

イベントではまず、株式会社ノートンライフロックのSNS・PR担当、櫻井理沙氏が登壇し「マイナンバーカードについて/個人情報盗難について」のプレゼンテーションを行った。

「日本の個人情報の盗難とサイバー犯罪」に関する2023年5月の調査では「サイバー犯罪被害者の5人に1人以上が金銭被害に遭っている」、「日本人の被害者は偽のウェブサイトやSNSを通してサイバー犯罪者に狙われることが最も多い」、「日本のサイバー犯罪の平均被害額が187,000円である」ことなどが浮き彫りにされている。企業や地方自治体などから個人情報が流出するケースも多くあり、櫻井氏は「自分の端末以外の場所から個人情報が流出するケースがあることを理解することも大事です」とコメント。

そのような状況の中、今年12月2日から従来の保険証が「マイナ保険証」に切り替わり、2025年3月にはマイナンバーカードに免許証が連携可能になるとされている。

櫻井氏は「マイナンバーカードを持って最も危険だと思われる項目」で「カードの紛失」が一番多くあげられている点に注目。さらに「10人に1人」がマイナンバーカードを失くした後に何らかの方法で悪用されるのではないかという懸念を抱いていることを指摘した。

※以下の画像については加工を施して掲載しております

櫻井氏に続き、株式会社ノートンライフロックのテクニカルディレクター・イスカンダル氏がリモートでダークウェブに関するプレゼンを行った。

ダークウェブとは、麻薬・銃・個人情報などの売買をはじめ様々な違法取引がされているウェブで、SNSアカウントの乗っ取りを依頼するためのフォーラムなどもあり、何層にも暗号化されURLは毎日変えられるそう。

イスカンダル氏は、専門家でない人がダークウェブにアクセスするのは非常に危険としたうえで、ダークウェブの実態を、サイトの画像や実際に取り引き材料となっている日本人の免許証やパスポートの画像などを例示しながら紹介した。

ハッキングのツールや技術を公開しているサイトでは「250ドル」「99.9ドル」などの価格体系もあり、ソーシャルネットワークのハッキングをするサイトでは「指定したアカウントを24時間から48時間以内にハッキングする」ことをうたっているそう。

また、クレジットカードを販売しているサイトでは、カテゴリーが「イギリス」「日本」「アメリカ」「その他」の四つに分かれており、裕福な日本はカテゴリーとして独立していることを実例とともに指摘した。

クレジットカードの番号を読み取る(スキミングする)装置を売るサイト、殺傷能力を持ちながら金属を使っていないため検知されないピストルを120ドルで売り宅配するサイトなどもあり、ハッカーが売りに出している日本企業から盗まれたデータには「給与明細」「法務情報」「税金に関するデータ」「顧客の購買情報」「自動車ローン情報」「確定申告情報」「設計図や計算データなど製造に関する機密情報」などありとあらゆる情報が並んでいると解説。「これらの情報を公開しないでほしければ300万ドル出せ」という脅しを期限を示すタイマー付きで公開するサイトの存在も画像付きで紹介された。

さらに日本人の氏名・住所・生年月日などが入った免許証やパスポート、アメリカに行ったときのビザ、アメリカ滞在中に使ったソーシャルセキュリティの番号などが画像入りで一覧表示され売りに出されているウェブもあり、イスカンダル氏は「これだけのデータがあれば、これらの人々になりすまして詐欺をはたらくことは簡単にできます」と語った。

また、フォーラムではハッキング手法の公開などに加え「闇バイトの紹介」もされており、イスカンダル氏いわく「毎日、たくさんのスレッドが作られ、たくさんの書き込みがされていることが特徴」とのこと。日本の警察庁を含めた各国の警察機関が協力して取り締まった事例などが紹介され、イスカンダル氏のプレゼンは終わった。

最後に前述の櫻井氏から「アイデンティティの脅威」を見分けるための注意点としての10項目がピックアップされ、
特に「2」と「8」が大切であることが説明された。

「1:携帯電話に異常な動きがある」

「2:アカウントへのサインインに問題がある」

「3:開設した覚えのない口座に郵便物が届く」

「4:予期せぬ請求書が届く」

「5:高級品や高価な商品の広告」

「6:債権回収業者からの連絡」

「7:見慣れないクレジットカードや銀行からの請求」

「8:二要素認証(2FA)アラートが届く」

「9:見慣れないアカウントの認証メッセージ」

「10:予期せぬ与信拒否」

また、ノートンIDアドバイザーには「ダークウェブモニタリング機能」があり、ダークウェブや非公開フォーラムをパトロールし個人情報だと思われる情報を検出した際に専用アプリとメールで通知するサービスを行っていることなどが紹介されて体験会は終了した。