個人情報窃盗（Identity Theft）とは？

デジタルプラットフォームの普及に伴い、個人情報窃盗（Identity TheftまたはID Theft）は非常に広がりを見せる問題となっています。脅威を振るう者たちは、フィッシング詐欺やマルウェア攻撃のようななりすましの手口を用いて、個人のプライベート情報を盗み、最終的にはその人のIDを盗みます。

個人情報窃盗は、他人のID情報詳細を不正に取得し、その人物になりすまして、通常は金銭的な利益を得ることを目的とする、広く普及しているサイバー犯罪です。この不法行為は、個人の生活に壊滅的な影響を及ぼすことがあります。

この成長するサイバー脅威がますます一般的になるにつれ、個人情報窃盗が正確には何を意味するのか、それに関連するリスク、そしてそのようなリスクに対抗するためにどのような対策を取るべきかを理解することが重要です。

個人情報窃盗とは、誰かがあなたの名前、社会保障番号、銀行口座番号、クレジットカードデータなどの個人情報を盗んで、詐欺や他の犯罪活動を行うことです。盗まれた個人情報は、通常、無許可の購入、新しいアカウントの開設、ローンの申し込み、または詐欺的な税金申告を行うために使用されます。言い換えると、窃盗犯があなたのIDを盗み、それを自分の利益のために悪用するようなものです。

個人情報窃盗犯は、疑いもしない被害者から個人情報を盗むために、洗練された方法を使用します。彼らは、ソーシャルエンジニアリングやフィッシング詐欺、マルウェア攻撃、スキミングデバイス、さらには旧式の手法であるダンプスターダイビングを使って、機密データを手に入れます。

個人情報窃盗は、重大な経済的損害と精神的な苦痛を引き起こすことがあります。被害者は、自分のIDを取り戻そうとする際、侵害され脆弱になっていると感じます。このような脅威を軽減するための効果的な保護策がなければ、事件から完全に回復するまでには、経済的にも精神的にも、数ヶ月または数年かかることがあります。

個人情報窃盗は、近年、警戒を要するほど増加している深刻な問題です。この犯罪は、以下を含む複数の方法で発生することがあります。

フィッシング詐欺

フィッシング詐欺では、サイバー犯罪者が正当な組織になりすまして、クレジットカードの詳細やセキュリティ質問への回答などの機密データを個人から引き出そうとします。このなりすまし手口は、個人が正規のブランドとやり取りしていると信じ込ませるために、メール、テキストメッセージ、ウェブサイト、さらには電話通話まで偽造することがしばしば含まれます。すべては、プライベートな情報を盗むためです。

ハッキング

ハードウェアやソフトウェアに十分な保護がない場合、サイバー犯罪者はコンピューターやネットワークに不正アクセスして個人データを盗むことができます。ハッカーはマルウェアをインストールしたり、システムのセキュリティインフラの脆弱性を利用して、機密ファイルへのアクセスを提供したり、大規模なデータベースの潜在的な侵害を可能にすることができます。

データ侵害

データ侵害は、金融口座の詳細を含む大量のユーザー情報を含むデータベースへの不正アクセスを伴い、個人情報窃盗犯にとって金鉱となります。サイバー攻撃者は、名前、クレジットカード番号、およびその他の機密情報を容易に盗み、他人のIDを模倣することができます。

スキミング

この手法は、正当な取引の最中にクレジットカード情報を盗むことを含みます。例えば、銀行から発行されたカードをレストランや店舗で手渡した際、従業員がそのカードの磁気ストリップからカード情報をコピーするためのデバイスを通してスワイプするかもしれません。

ショルダーサーフィン

この古典的な方法は、ATMでPINを入力する際や、銀行や郵便局のような公共の場所で個人データを含むフォームを記入する際に、誰かの肩越しに覗き見ることを含みます。一部のビジネスや施設では、このような活動を防ぐための技術を実装していますが、ショルダーサーフィンは依然として頻繁に使用される方法であり、攻撃者が人々の個人情報を盗むことを可能にします。

物品の窃盗

物品の窃盗は、個人情報窃盗犯が使用する一般的な方法です。これには、IDカードやクレジットカードを含む財布やウォレット、特に事前承認されたクレジットオファー、新しい小切手、税情報など、直接郵便箱からの郵便物が含まれる場合があります。これらは通常、家庭や職場の周りの非セキュアな場所に保管されています。

ビジネスオーナー、ITチーム、サイバーセキュリティの専門家にとって、これらの脅威を理解するだけでなく、それらを防ぐための予防策を講じることが重要です。個人を特定できる情報（PII）を含むドキュメントを保護することは、個人情報窃盗を防ぐ上で大きな役割を果たします。

今日のデジタル時代において、多種多様な形態の個人情報窃盗が蔓延しています。この犯罪のさまざまな形態を理解することは、あなたの個人情報を保護する上で重要です。

• 金融の個人情報窃盗: この一般的な形態の個人情報窃盗は、犯罪者がクレジットカードや銀行口座番号などの金融口座情報を盗むときに発生します。彼らはしばしば、これらの詳細をオンラインで明かすようにあなたをだますか、保護されていない場所やデータベースからそれらを盗むことでアクセスを得ます。
• 医療の個人情報窃盗: 医療の個人情報窃盗では、犯罪者が他人の健康保険情報を悪用して医療サービスを受けます。このタイプの犯罪は、経済的損失と犠牲者の医療記録の誤ったエントリーにつながり、それは危険な結果を招く可能性があります。
• 社会保障の個人情報窃盗: 社会保障番号に関する窃盗により、犯罪者はあなたの名前で新しい信用ラインを開設することができ、クレジット報告機関による検出やクレジットレポートへの反映前に大きな損害を引き起こす可能性があります。
• 子供の個人情報窃盗: 個人情報窃盗犯が子供の社会保障番号を使用してさまざまな種類の詐欺を行います。
• 合成した個人情報窃盗: この場合、犯人は実際の情報と偽の情報を組み合わせてまったく新しいIDを作成します。
• 税関連の個人情報窃盗: 誰かが盗んだ個人データ（社会保障番号など）を使用してIRSに税金申告を行い、詐欺的な払い戻しを請求するときに発生します。
• 高齢者詐欺: 通常良いクレジットスコアを持つことが多い高齢者は、しばしば標的とされます。例えば、詐欺師が電話で機密情報を求めるメディケア代表として装うかもしれません。
• ソーシャルメディアの個人情報窃盗: 犯罪者は、ソーシャルメディアプラットフォームの緩いプライバシー設定を利用するか、悪意のある目的で個人のIDを模倣する偽のソーシャルメディアアカウントを作成するかもしれません。
• オンラインショッピング詐欺: サイバー攻撃者は、脆弱または不安全なオンラインショッピングプラットフォームに侵入して、クレジットカード番号などの個人顧客情報を取得することが知られています。

常に心に留めておくべきことは、機密性の高い詳細を共有する場所については常に認識し、パスポート、クレジットカード、運転免許証のような重要なドキュメントを扱う際には、常に安全な保管方法を使用することです。

個人情報窃盗は多種多様な形態を取るため、警告の兆候が常に明確にわかるわけではありません。しかし、あなたのIDや機密性の高い個人情報が盗まれた可能性があるという一般的な警告の兆候はいくつかあります。

• あなたが開設していない口座に関する請求書や回収通知を受け取る
• 請求書や明細書が届かない
• クレジットレポート上の見慣れない活動、例えば新しい口座や問い合わせなどがある
• 申し込んでいないクレジットカードやその他の金融口座の明細書を受け取る
• 受けていない医療サービスのための医療請求書を受け取る
• 明確な理由なくクレジットやローンを拒否される
• 開設していない口座についての債権回収業者からの電話を受け取る
• 郵便物が届かない、または郵便箱から郵便物が失われる

これらの警告の兆候に気づいた場合、さらなる被害から自分自身を守るために、直ちに行動を起こすことが重要です。連邦取引委員会（FTC）のIdentityTheft.govからオンラインで個人情報窃盗を報告できます。また、クレジットカード発行会社、銀行、および他のアカウントを持っている場所の詐欺部門にも連絡するべきです。

個人情報窃盗の余波は、金銭的な損害から感情的および社会的な影響に至るまで、深刻で広範囲にわたることがあります。

• クレジットの損害: あなたの名前で不正に請求されたり新しい口座が開設されたりすることにより、あなたのクレジットスコアが大幅に低下する可能性があります。
• 資金の損失: 窃盗犯があなたの銀行口座を空にしたり、あなたのクレジットカード情報を使用して購入を行ったりすることにより、かなりの借金を抱えることになるかもしれません。
• 評判の損傷: 盗まれた情報を使用して不法行為を行う窃盗犯により、あなたの個人的な関係が損なわれ、誤って犯罪記録が作成される結果となることがあります。
• 精神的ストレス: 個人情報窃盗からの回復は、しばしば時間がかかりストレスが伴い、場合によっては不安やうつ病を引き起こすことがあります。
• 法的問題: 個人情報窃盗の被害者は、ID窃盗犯が犯した犯罪のために誤って告発されることがあります。
• 解決のための時間と労力: 個人情報窃盗の被害者は、問題を解決するために、金融機関、信用情報機関、法執行機関に連絡するなど、かなりの時間と労力を費やすことがあります。

個人情報窃盗の被害に遭ったと疑う場合、被害を最小限に抑え、さらなる害を防ぐために、直ちに行動を起こすことが重要です。

個人情報窃盗の被害に遭った場合でも、パニックにならないでください。問題に迅速に対処するため、以下のステップに従い直ちに行動を起こしましょう。

• 詐欺の報告: アカウントに怪しい活動があることに気づいたら、すぐに銀行やクレジットカード会社に連絡してください。まだFTCに報告していない場合は、報告を行ってください。
• 信用情報機関に連絡: 3つの主要な信用情報機関（Experian、EquifaxやTransUnion）のいずれかに連絡し、あなたの信用報告書に詐欺警告を設置してください。
• 不正アクセスされた口座を閉鎖: 不正アクセスされたり、あなたの名前で不正に開設されたりした口座をすべて閉鎖してください。
• 口座の開設や詐欺的な取引に使用された文書のコピーを集める: あなたのクレジットレポートのコピーを取得し、エラーを訂正してください。銀行、クレジットカード会社、その他の機関がおそらくそのデータを要求するので、レポートのコピーを作成してください。
• 個人情報窃盗レポートを作成: このレポートは、信用報告会社、債権回収業者、およびID窃盗犯に商品やサービスを提供したビジネスと対処するのに役立ちます。
• アカウントのパスワードとPINを変更: あなたのメールを含む、潜在的に影響を受けるすべてのアカウントのすべてのパスワード、PIN、およびログイン情報を更新してください。

回復は複雑に思えるかもしれませんが、あなたの経済的な安全と感情的な幸福を取り戻すためには必要です。

ほぼすべての日常業務がデジタル化された時代において、個人情報を保護することはこれまで以上に重要です。ここに、個人情報窃盗の脅威から安全を保つためのいくつかのヒントを紹介します。

• 強力なパスワードを使用する: ハッカーがあなたのパスワードを推測することを容易にしないでください。パスワードのベストプラクティスを使用し、最大限のセキュリティを確保するために文字、数字、記号を組み合わせた複雑で解読しにくいパスワードを作成してください。
• 個人文書をシュレッダーにかける: 個人情報窃盗犯があなたの個人情報をゴミ箱で探すことがないようにします。プライベートまたは機密情報を含む実際の書類をゴミ箱に捨てる前に、それらをシュレッダーにかけてください。
• クレジットレポートを監視する: 早期に怪しい活動をキャッチするために、クレジットレポートを監視してください。ExperianやCredit Karmaのようなサービスを使用すると、クレジットスコアを簡単に追跡できます。
• 公共のWiFiを使用する際には注意を払う: 公共のWiFiネットワークを使用する際には注意を払うか、可能な限り避けてください。公共WiFiは、ハッカーがあなたの個人情報を傍受するための簡単な方法です。
• オンラインおよび電話で注意する: 連絡を開始した場合や受信者を信頼する場合を除き、個人情報を提供しないでください。機密データを明かすように騙す行為に注意してください。
• クレジット監視サービスを使用する: クレジットレポートを監視し、怪しい活動があった場合に警告するために、クレジット監視サービスを利用してください。連邦法では、全国の消費者信用報告機関であるEquifax、ExperianやTransUnionが、リクエストに応じて年に一度無料のクレジットレポートを提供することを義務付けています。さらに、彼らはクレジット関連のタスクを実行するプロセスを簡素化し、コンピューターを介して簡単にアクセスできるようにしています。
• 怪しい活動を報告する: 銀行、クレジットカード会社、または信用情報機関で怪しい活動が見られた場合は、直ちに報告してください。

これらの対策に加えて、銀行口座、クレジットカードの明細、クレジットレポートを定期的に監視し、通常と異なる活動がないか確認してください。銀行業務、アカウントの登録、購入の実施など、デジタルで行われる操作が増えたことで、セキュリティの脆弱性は急増しています。

個人情報窃盗は、企業と個人の双方にとって増大する懸念事項です。この話題は主に個人に焦点を当てていますが、組織もこれらの潜在的脅威から従業員の機密情報をより良く保護することができます。

パスワードのセキュリティポリシー

個人情報窃盗に対する最初の防衛線は、堅牢なパスワードセキュリティポリシーです。これには、複雑なパスワード要件（英数字と記号の混合）、頻繁な変更、複数のアカウント間での資格情報の共有や再利用の制限が含まれるべきです。

パスワードで保護されたデバイス

すべての組織のデバイス（コンピューター、スマートフォン、タブレットなど）は、パスワードで保護されるべきです。従業員が保護されていないデバイスを紛失した場合、それを見つけた人は、保存されているすべての個人情報と機密業務情報に簡単にアクセスできる可能性があります。

データプライバシープログラム

包括的なデータプライバシープログラムは、収集された個人を特定できる情報（PII）が、組織の各レベルで（収集から廃棄まで）機密保持され、安全であることを保証します。通常、これらのプログラムは定期的にサードパーティによって監査されます。

Piiの機密性の保持

あなたのビジネスは、デジタル上および物理的にもPIIを機密に保つための措置を講じる必要があります。デジタルファイルを暗号化し、物理文書を公共エリアや保護されていないネットワークから離れた安全な場所に適切に保管してください。

セキュリティ意識向上トレーニング

セキュリティ意識向上トレーニングは、職場での個人情報窃盗を防ぐ上で重要な役割を果たします。情報を熟知している従業員は、フィッシング詐欺やログイン情報を盗む行為の犠牲になりにくいからです。これには、カード発行の明細書の仕組みを理解することや、定期的に主要な信用情報機関とともにクレジットレポートをチェックすることが含まれます。

ビジネス環境における個人情報窃盗の防止は、従業員に安全なオンライン行動について教育し、ファイアウォール、セキュアネットワーク、暗号化技術、効果的なアイデンティティ脅威検出＆対応（ITDR）ソリューションなどの堅牢なサイバーセキュリティ対策を実装することを含みます。

ProofpointのITDRソリューションは、機械学習アルゴリズムを使用してリアルタイムで潜在的な脅威を特定し、迅速な対応のための実用的な洞察を提供することにより、包括的な保護を提供します。これは、組織内の役割に基づいてユーザーアクセスを制御することにより、攻撃表面を減らすことに焦点を当てています。

ProofpointのITDRソリューションに含まれるSpotlightは、サイバー攻撃者が目標のエンドポイントに到達する前に、権限昇格とラテラルムーブメントを検出します。Spotlightは、自動化された修復を使用して、アイデンティティリスクを防ぎ、リアルタイムのアイデンティティ脅威を検出します。

ITDRに対する強力な補足として、ProofpointのShadowツールは、公式の承認なしに使用されるクラウドアプリを特定するのに役立ちます。これは、個人情報窃盗につながるセキュリティ侵害の一般的な原因です。

サイバー脅威の絶えず進化する風景は、個人情報窃盗を完全に排除することが不可能に思えるかもしれません。しかし、Proofpointが提供するような適切なツールと組み合わせた意識は、そのような脅威に関連するリスクを最小限に抑えることができます。