個人情報漏えいが止まらない　UBERから5700万人

「漏洩していたのに報告無しで後から　XXXX万人漏洩してました」
事案が発生しました。

今回は、Uber（ウーバー）です。

Uberは2016年にデータ漏洩を引き起こし、乗客とドライバーの両方を含む5700万人に影響を与えていた。漏洩したのは名前、電子メールアドレス、そして電話番号だ。その影響を受けたグループには、5000万人の乗客と700万人のドライバーが含まれていたが、ブルームバーグからの新しいレポートによれば、およそ60万人分の米国人ドライバーのライセンス番号も含まれていたということだ。
引用：TechCrunch
http://jp.techcrunch.com/2017/11/22/20171121uber-data-breach-from-2016-affected-57-million-riders-and-drivers/

今回の「IT小僧の時事放談」では、「個人情報漏えいが止まらない　UBERからも5700万人」と題して、なんで何度も漏洩してしまうのか？　について考えてみます。

漏洩事案が止まらない。

このブログでも何回か個人情報漏洩問題について話をしてきましたが、またまた発生してしまいました。

ところでUberって？

日本では、まだそれほど大きなサービスになっていませんが、
簡単に言ってしまえば。「白タク」のことです。

Uber（ウーバー）は、アメリカで誕生した自動車配車ウェブサイトおよび配車アプリで現在は世界70カ国・地域の450都市以上で展開しています。
主に一般の方の自動車を利用した配車サービスで「一般の人間が、自分の車を使ってお客様を運ぶ」
これは、日本で言うところの「白タク」にあたります。

一般に認められたらタクシー会社のダメージは大きいでしょうね。

以下のようなリスクもあるので日本ではなかなか厳しいでしょう。
「事故の責任」
「強盗事件」
「レイプ事件（海外）」
「ボッタクリ」
「運転技量がよくわからない他人のクルマに乗るのは怖い」

2016年3月に「白タク解禁案」が閣議決定され、「高齢者や外国人観光客にサービスする過疎地では合法化」となっています。

個人情報漏洩

影響範囲
・名前、電子メールアドレス、電話番号
・5000万人の乗客と700万人のドライバー
合わせて5700万人
・60万人分の米国人ドライバーのライセンス番号

漏洩時期

2016年10月ごろに漏洩
2016年11月に気づくが報告なし、しかも犯人に金を支払う
・顧客、ドライバー、規制当局に報告していない
・漏洩の事実を口外せずデータを削除することと引き換えに「ハッカーたち」に対して10万ドルを支払った

原因

詳しい報告はありませんが
Uberエンジニアたちが使っていたプライベートのGitHubサイト用の、Uber Amazon Web Servicesアカウントのログイン認証情報を取得
その後、犯行

犯人に金を支払った

ハッキングして情報を盗み取った犯人に金を支払うのはいかがなものか？
「このことは、これに免じて、ぜひご内密に・・・」
菓子づつみをそっと渡す。
菓子づつみの底には、小判の束
「あい分かった。なかったことにしよう」
お前の会社は、江戸時代の役人か！

言い訳

事件の「言い訳はしない」が、「これは起こってはならないことだった」と考えていると語っている。共同創業者のTravis Kalanickが同社を去ったあと、その後任として8月にこの配車サービス会社のCEOとして着任したKhosrowshahiは、その攻撃以降、Uberは脆弱性を取り除き、セキュリティ指標を引き上げたが、報告の義務を果たしていなかったと語った。
引用：TechCrunch
http://jp.techcrunch.com/2017/11/22/20171121uber-data-breach-from-2016-affected-57-million-riders-and-drivers/

まとめ

これまでも米国では、大きな漏洩事件が発覚しています。

• Yahoo!が10億件以上の個人情報を漏洩
• Equifax — 1億4,550万アカウント
• Target　4000万件に及ぶクレジットカードとデビットカードの番号

今年だけでも米国で以下の漏洩事件が発覚しています。
Avanti Markets — 160万アカウント
Eection Systems & Software — 180万アカウント
Dow Jones & Company — 220万アカウント
America’s Job Link Alliance — 550万アカウント
Equifax — 1億4,550万アカウント

※100万件以上をリストアップしたので小さいところはもっとあるはずです。

Yahoo!やEquifaxは、、後になってバレそうになってから
「実は、漏れてました」
という経緯を辿っています。
今回のUberは、「黙っていてくれるかわりに金をあげる」ということをやってしまいました。

幸い日本では、そこまで大きな漏洩事件は起きていませんが
実は、
「このことは、これに免じて、ぜひご内密に・・・」
というやり取りがあったとしても不思議ではありません。

なぜって？
「芸能人のスキャンダルは、絶頂期には出てこない」
「企業の偽装事件は、なかなか表にでてこない」
「ＸＸＸＸＸ協会と名がつく事件は、なかなか表にでてこない」
それは、
「マスコミは、報道しない自由」
などと言われております。
古今東西、「お金」をくれるところには弱いものです。

もれない情報は、ありません。
今後、もっと大きな漏洩事件は出ることでしょう。

何にしろ、企業としては、あとでバレて大事になるまえに「報告」をして禊を受けるしかなさそうです。