treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

私の個人情報漏えいさせていませんか?

セキュリティ

と、まあ、ある日突然表題のような質問をされたらどうしますか?
ちょっと洒落では済まない問いかけですよね?
そうならないために普段あまり気にしない部分に着目してはいかかでしょうか?
というのが今日のご報告です。

あなたの個人情報はあなたがセキュリティ対策を十分に実施しているかどうかに関わらず漏洩する経路があります。
しかもニュースで取り上げられるような分かりやすい漏洩ではありません。実際自分の個人情報が漏えいしたかどうかなど全く誰も気付かない状態で情報が漏えいしているのです。
これを考え始めた発端は、私が外部サービスに全く登録していないメールアドレスに毎日スパムメールが届くようになったことが始まりです。

いま保有しているメールアドレスの中で、スパムが定期的に届くアドレスは3種類あります。
1つ目のアドレスは会社のアドレスです。ですがこのアドレスはどこにも登録していません。ただし取引先の一部へCCのアドレスとして使われていた経緯があります。このアドレスにかれこれ数年間途絶えることなくスパムメールが届いています。
2つ目は携帯キャリアで取得したアドレスです。携帯キャリアで取得したアドレスですが、外部サービスにも登録していて友人、知人、仕事の関係者ともアドレス交換しているメールアドレスでアドレスの文字数も最長にしてあるアドレスです。
3つ目はgmailアドレスです。6文字の短いアドレスで、友人、知人、仕事関係者はおろか、外部サービスにも一切利用していません。
この条件の3つのアドレスにはスパムメールが届く状態になっています。
容易にわかるのは3つ目です。
誰にも公開していないアドレスであっても6文字の短いアドレスでは総当たりでスパムメールが届いてしまうのだと思われます。
釈然としないのは会社のアドレスです。
取引先の一部へしか送受信に使われていないアドレスにも関わらずスパムメールが届くのはどうも分かりません。しかも一番スパムメール受信数が多いのです。
ここで注目したいのが、2つ目の携帯アドレスに届くスパムメールです。
外部サービスもアドレス交換でも広く公開しているアドレスはどこから流出してしまったのかまったく見当もつきませんがどこからか流出してしまうものだ、というのが世間の考え方です。
実際どこから漏れているのか想像してみると、
 アドレス交換した人のデバイスから漏れた。
 登録した外部サービスから(人知れず)漏れている
 登録した外部サービスが第三者提供をしていることを見落としていた。
そして漏れたor第三者提供されたアドレスが名簿業者経由で売買されている、といったところでしょうか。

ここで、「第三者提供」ってナニ?という人もいますよね。
第三者提供というのはですね…ちょっと説明します。

突然ですが、何かサービスを利用するときに個人情報を登録してサービスを受けることが多いと思います。
このときに表示される利用規約/会員規約、プライバシーポリシー、個人情報の取扱いについて、と題された文章(長ったらしい)を読みますか?
だいたい読みませんよね。私は読む派なのですが、周囲の人から見ると読む人は少数派、だそうです。
以前認定プライバシーコンサルタント資格なる資格を保有していた経験の名残で、無料サービスは特にそうですが有料サービスでもこういった規約/ポリシーの類はざっとでも一通り目を通すようにしています。

一番注目するのが「個人情報の利用目的」と「収集した個人情報の第三者提供」の項です。
ここは一番よく確認するポイントです。
と、いうのは、無料サービス/無料クーポン/無料ポイントサービスでよくあるのが「系列会社やまったく別の会社に対して収集した情報を提供する。」と明示されていることがあるからです。
例えるなら、社会的に信用のある大企業のサイトであなたの個人情報を登録しサービスを受けようとしたときに、第三者提供欄をよく見てみると、新興中小企業やベンチャー企業へ個人情報の一部を提供する主旨の記載がされていることがある、ということです。
資本関係があるような系列(グループ)会社であれば多少はいいかな、という気にもなるのですが、全く関係なくて名も知れていない会社に第三者提供をされる条件で個人情報を提供するのはかなりリスクがあると個人的には考えています。
こういった第三者提供は利用目的にもどんな第三者がどのように利用するか明示されていることが多いです。
一定の信頼をしてよい企業ですとこのあたりはしっかりと書かれています。第三者提供する提供先の企業名、第三者提供する情報の項目、など、どんなふうにどんな情報を提供するか、が明記されています。
でも、このあたりがしっかり記述されていない企業もあります。そういった企業のサービスを利用する行為はある種賭けに近い状態だと認識していいと思います。
私個人としては、大丈夫かどうかがはっきりしない状態では個人情報を提供せずサービスを受けない、という選択をしますのでいいなぁと思ってもサービスを受けることは諦めます。(実際いくつか諦めています。)

ちなみに、この第三者提供は個人情報の委託業務・委託先、とはちょっと違います。個人情報関連のポリシーに個人情報の委託についての内容が詳しく書いてあるからといって、第三者提供についての信頼をしてもよいわけではないです。またその逆も然りです。
ネットサービスではまれに、サービスを利用する代わりにそのサービスに登録した人がアクセスしたウェブサイトのURLとかアクセス日時(ブラウザの利用情報?)を収集するものもあるようです。
つまり、サービスに登録したらどんなWebサイトにいつ何時アクセスしたかを逐次収集されることに同意する規約がちっちゃい字で書かれている規約が現実に存在するわけです。規約を読まないとこのことには気づかずにいつもアクセスしているあんなサイトやこんなホームページがサービス提供者には筒抜けになっている、という状況になる、というわけで。
これは悪用されてない限りはいいのですが、悪用されるとなるとかなり怖い情報になりそうに感じます。

読まなくても大丈夫だった方へ、いままでは読まなくても優良な企業のサービスを利用されていたと思いますが、次に利用するサービスが優良である保証はどこにもありません。いままで大丈夫だった、という状態を維持するために次回からざっと目を通す程度でも利用規約とポリシーを確認されることをお勧めします。
実際にスパムメールで悩んでいる方へ、貴方の情報はおそらく売買されていると思われます。いったん売買された情報は消せません。脱却する唯一の方法は既に売買に出されたあなたの情報自体を変える以外ありません。
住所が流出しているなら引っ越し、電話番号やメールアドレスが流出しているなら番号・アドレス変更、といった具合にです。
そして、それらの手間を避けるにはそもそも流出しないようにする、というのが一番の防御策です。

長くなってしまいました。悪い癖です。
話をようやく戻すと、外部サービスを利用せずメールもメインアドレスとしては利用していないメールアドレスに何故多くのスパムメールが届くのか、というところに戻ります。

一言でいえば、「人知れず漏れている」からスパムメールが送信されてくるんだと思われます。で、漏れているのは、(使っていない)外部サービスではなく、メールのやり取りをしたどこか。
会社の(しかもメインではない)メールアドレスですからメールの送受信は取引先の会社しかないのですが、やっぱそのどこかからなんだろうなぁ…と思います。
例えば、ウィルス対策が十分でないPCでメールのやり取りをしていた人が、メーラーのアドレス帳をごっそり抜き取られるようなウィルスに引っ掛かった、とか、メールのやり取りをしていた人のうち、誰かのPCではメールによるやり取りが自動的に収集されるサービスを利用していた、とか。
サービスを使い始めたら自分のアドレス帳をごっそり(こっそり)サーバにアップロードする類のサービスをメールのやり取りをしていた人のうちの誰かが使い始めて、うっかりミスが発生した(が、本人を含めその事実に誰も気づくことはできない状態)とか。

うーむ。
最近は物騒な世の中ですよね。
スパムメールを受け取らない画期的な方法、なにかないものでしょうか?

最近では、有名企業でも信用という目に見えない価値観が崩壊しつつある世の中になってきました。世知辛いですね。
そんなご時世では、やはり自分の身は自分で守るため、正しい知識と正しい防衛策を用意しておくことは必要だと思います。

貴方の個人情報が守られることに、この文書が一役買えばこれほど光栄なことはありません。