カジノサイト アイデンティティの危機
それは「アイデンティティの問題」でした。メアリー・サザーランドの婚約者、ホズマー・エンジェル氏は結婚式当日に失踪しており、彼を探すにはシャーロック・ホームズの助けが必要だった。
しかし、エンジェルには少し謎がありました。サザーランドは彼のことをほとんど知らず、彼がリーデンホール・ストリートのオフィスで働いていて、私書箱でタイプ打ちされた手紙を彼女に送ったことだけを知っていた。また、彼がサザーランドを直接訪問したのは、彼女の継父であるジェームズ・ウィンディバンクが町を離れているときだけであった。
論理的推論といくつかの簡単な調査作業を通じて、ホームズはエンジェルが彼が主張していた人物ではないことを推測しました。物理世界での直接観察に基づいて、ホームズは、エンジェルは変装したウィンディバンクであり、サザーランドと結婚することはできないと推測しました。
20 世紀のほとんどの間、個人の身元確認を取り巻く状況は同じでした。ほとんどの取引、法的措置、会議は物理世界で行われました。人々は取引相手を見て、運転免許証やパスポートの物理的なコピーを見て、それを使って身元を確認しました。
また、個人の社会保障番号 (米国で最も一般的な番号付けシステム) を使用して、その特定の番号に関連付けられたすべての情報に基づいて、その人が本人であることを確認することもできます。
そして、物理世界で身元を確認できる機密データを何百万人もの人々から盗むには、その情報を保管している企業に侵入しようとする人々のネットワークが必要でした。彼らが捕まる確率は高かったでしょう。
しかし、今日のデジタル世界では、機密情報の大規模な強盗を実行するのははるかに簡単です。また、オンラインで ID を作成して検証するために使用される構成要素は定期的に侵害されており、誰がオンラインであるかを証明することがこれまで以上に困難になっています。
この最新の例は、信用調査会社 Equifax の大規模なデータ侵害です。この事件では、ハッカーが 1 億 4,550 万人のデータにアクセスし、そのほとんどが米国国民でしたが、カナダや英国の個人も含まれていました。
ハッカーたちは、名前と電話番号に加えて、社会保障番号と、政府機関が個人から収集し、以前の居住地、交際歴や職歴、財務履歴などの身元確認に使用する広範な情報にアクセスしました。
この情報は、審査プロセスの一環として個人の身元を確認するために、雇用主、リース会社、その他の企業と共有できる信用報告書の作成によく使用されます。
「Equifaxのハッキングは、その規模の広さだけでなく、盗まれた特定の種類の個人データのせいでもあり、非常に憂慮すべきものだ」とテッド・リュー米国下院議員(民主党-カリフォルニア州)はスレートの論説で書いた。 「信用調査機関は、データ セキュリティとプライバシー保護における防御線の 1 つであるはずですが、Equifax はその中心的な使命を果たせませんでした。」
Equifax 侵害に対する犯行声明は出ておらず、専門家は、特にこれからのホリデーシーズンには、盗まれた情報を利用した詐欺が増加すると予想しています。
「詐欺、合成 ID、アカウントの侵害が増加するでしょう。クレジット カードの摘発、複数の商品チャネルにわたる不正融資の実行などです」と、ThetaRay の金融サービス ソリューション担当シニア バイス プレジデントの James Heinzman 氏は述べています。
サイバーセキュリティ会社デジタル シャドウズの戦略担当副社長リック ホランド氏は、詐欺師に加えて、国家の主体も Equifax 侵害で侵害された情報を入手する可能性があると述べています。
たとえば、中国は、米国人事管理局(OPM)侵害で盗んだとされるデータと組み合わせると、このデータが非常に貴重であると判断するだろうとホランド氏は説明する。なぜなら、中国がすでにターゲットにしている可能性のある個人に関するより広範なデータセットを作成できるようになるからである。
「[中国]がソーシャル エンジニアリングなどの活動にこの種のデータを活用し、購入していることがわかります」とホランド氏は言う。 「防衛側だけでなく、あらゆる国民国家がこのデータを取得しようとすると予想されます。米国政府が防諜の観点からその意味を理解するためにこのデータを取得しようとしても、私は驚かないでしょう。」
Equifax 侵害で侵害された情報は一時的なものではなく、社会保障番号や個人履歴は変更されないため、こうした影響は広範囲に及ぶ可能性があります。これは、オンラインでの ID の構築および検証方法に深刻な問題を引き起こしています。
このため、Comparitech のセキュリティ研究者兼ブロガーであり、Re:Sources UK の情報セキュリティ トレーニングおよび啓発担当シニア アソシエイトである Lee Munson 氏は、現在、なりすましの被害者がインターネット上で自分の身元を 100% 証明する方法はないと考えていると述べています。
「私にとって皮肉なことは、個人情報盗難の被害者に与える最初のアドバイスの 1 つは、Equifax のような業者から信用報告書のコピーを取りに行くことだということです」とマンソン氏は言います。 「今度は『彼らを信頼できますか?』と尋ねなければなりません。」
被害者には「電子メールを送信したり、書類をコピーしたり、社会保障番号やパスポートのコピーを送るという選択肢があるが、それらは簡単に偽造される可能性がある」と彼は説明する。被害者は、地元の警察署に行って、なりすましの被害者であることを示す書類を入手することもできますが、その場合、被害者にはすでに身元が盗まれた後で身元を証明する責任が課せられます。
代わりに、組織は個人を一意に識別するために収集するデータの種類を再考し、社会保障番号を識別子として使用しないことを検討する必要があるかもしれません。ほぼすべての合法的な米国居住者は、社会保障局から発行されたカードを持っており、このカードは金融機関、雇用主、医療提供者などと共有され、居住者の書類とその番号が関連付けられます。
「振り返ってみると、これは史上最悪のアイデアのように思えます」と、Ntrepid の主任科学者、Lance Cottrell 氏は言います。 「これがこの紙です。番号が印刷されています。これを全員に渡すことになりますが、それでも、それを秘密にしておくことがセキュリティの鍵です。これは物事に対する本質的に逆説的なアプローチです。」
社会保障番号やその他の静的情報を使用する代わりに、個人を識別するために生体認証をより多く使用する動きが見られるようになるとコットレル氏は述べています。 Equifax 侵害に先立って、Apple は新しい顔認識技術を発表しました。iPhone ユーザーは間もなくこの技術を利用してデバイスのロックを解除できるようになります。
「iPhone のようなものは、世の中の多くのことが今後どのように動くかを示しています」とコットレル氏は言う。 「これらのロックダウンされた物理デバイス内の生体認証と安全な領域により、認証が可能になります。」
しかし、生体認証は特効薬ではありません。 Apple は、自社の顔認識技術の精度は 98% のみであると発表しました。
「つまり、人口の 50 人に 1 人が携帯電話のロックを解除できる可能性があるということです」とマンソン氏は言います。 「そして、より成熟した以前の顔認識システムは、高解像度のデジタル写真によってだまされてきました。理論的には正しいとしても、実際には、そのデバイスの相手が本人であることを証明できない可能性があります。」
生体認証の使用が増加する可能性があるにもかかわらず、コットレル氏は、米国では、一部の人がスマート ID と呼ぶもの、つまりキャリアを識別するための DNA サンプルなどの生体認証データを含む身分証明書の一種を導入する準備ができていないと述べています。
政府機関や企業とオンラインでやりとりする場合には、公証人の利用が改めて重視される可能性が高いとも同氏は考えている。たとえば、オンラインで企業とやり取りするには、個人が物理的に公証人のところに行き、身分証明書を提示し、公証された文書を取得して、個人の身元を確認するために企業に送信される必要があります。
「物理的な文書を偽造できないわけではありませんが、拡張性はありません」とコットレル氏は言う。 「これははるかに手間がかかります。米国内で直接行う必要があります。また、インターネット ベースの攻撃の特徴の 1 つは、管轄区域外で大規模に開始できることです。」
そして、規模に重点を置くことが重要です。なぜなら、シャーロック ホームズの事件と同じように、攻撃ごとに侵害される可能性のある人の数を制限することで、不正行為を管理可能な速度に抑えることができ、不正行為を特定して軽減できるからです。
「目標は、詐欺を撲滅したり、この種の犯罪を撲滅することである必要はありません。詐欺の発生率を確実に管理できるようにすることです」と彼は説明します。 「残念ながら、Equifax の侵害は、大規模に開始される可能性のある詐欺や攻撃へと物事を方向転換させている可能性があり、それが問題だと思います。」