10億人の個人情報流出、その背景とは

「10億人の個人情報流出」という、世界サイバー犯罪史上最悪の事件が起きています。

中国・上海市の警察のデータベースに侵入し、住民最大10億人分の個人情報を盗んだとハッカーが主張した。専門家によると、同国史上最大のサイバーセキュリティー攻撃の可能性がある。
オンラインのサイバー犯罪フォーラムに先週掲載された匿名の投稿によると、このハッカー１人あるいはハッカー集団はデータベースから盗んだとする氏名、住所、出生地、身分証番号、電話番号、犯罪歴情報など、23テラバイト（ＴＢ）超相当の売却を提案。暗号資産（仮想通貨）ビットコイン10単位（約20万ドル＝約2700万円）との引き換えを求めたという。ハッカーの身元は明らかでない

中国史上最大のデータ窃盗か、上海警察から10億人分盗んだとハッカー - Bloomberg https://www.bloomberg.co.jp/news/articles/2022-07-04/REHL1MDWRGG201

販売されているデータが本物かどうか、中国当局は認めていませんし、確認作業は終わっていませんが、無料でダウンロードできるサンプルデータは「本物らしい」との評価です。中国ではこれまでも「ホテルの宿泊記録1000万件以上が流出、浮気ばれ続出」とか、「上海市共産党員の名簿が流出、日系企業にも党支部があったんや」とか、「習近平の身分証番号が割れて、娘の携帯電話番号までばれる」とか、いろいろ流出事件はありましたが、もし10億人データが本物ならば一線を画する巨大事件です。

＊この件に関しては、安田峰俊『「習近平の個人情報｣を盗んだ男たち　中国共産党の「野望と病理」』という素晴らしい記事があるので、ご興味がある方はぜひ。

ですが、「まあ、いつかは起きるのでは」と思っていたのも事実。というのも中国当局のデータガバナンスはかなりガバガバだからです。という記事を書きかけで放置していた時に、この10億人流出事件が起きました。

というわけで、遅ればせながらその記事を掲載いたします。

マイナポイント申請がだるい日本

マイナポイント第2弾、申請されましたか？　マイナンバーカードを取得し、健康保険証として使う登録や国からの給付金を受け取る手続きをすると、計2万円分のポイントをもらえるというものです。

私は先ほどスマホから申込みを済ませました。マイナンバーカードの電子証明書をNFCで読み取る時にエラーが出てやり直しに。何回かやったらクリアできましたが、できない方もいるでしょうね。特にスマホの機種によってもうまくいかないというケースもありそうです。そもそもカード取得も役所にいったらすぐ発行というものでもなく、ちょっと面倒くさかった記憶が。

というわけで、6月28日時点で交付数は5725万枚、交付率は40％台半ばにとどまっているそうです（「マイナポイント第2弾」30日受け付け開始 1万5000円分を還元）。第1弾の5000円で40％台だったのが、2万円もらえるならどれぐらいの比率になるのか、人の心理を知る上でもおもしろい事例と言えます。

「マイナンバーがもっと普及していたら、コロナ対策もスムースにできた」とは、たびたび言及される話です。今回の目玉である、給付金受け取り口座の紐付けはまさにコロナ対策をイメージしたもので、2020年に実施された10万円の特別定額給付金の第2弾がもしあったとすれば、きわめて簡便な手続きで公布が可能となります。

その点中国は簡単楽ちんすばらしい！……の落とし穴

「日本のデジタル後進国っぷりは辛い。それに引き換え中国は」というのは、今やよく聞く愚痴話ではあります。実際、中国が進んでいる側面も多く、マイナンバーに相当する身分証、銀行口座、携帯電話番号は紐付けて管理されているので、やろうと思えばきわめて簡単に給付金支給も可能ですし、住民の手続きも簡単です。

いいことばっかりやんという気もするのですが、簡単なのはあまりセキュリティを重視していないからではないかという側面も。

たとえばごくごく最近の話なのですが、「中国コロナ対策の英雄・鐘南山、実はワクチン未接種？！」というニュースがバズりました。ワクチン接種記録を表示する中国のアプリ「健康コード」では、スマホを持っていない子どもや老人のために、第三者が代わりに接種記録を表示する機能があります。身分証番号と誕生日さえわかっていれば、代理で接種記録を呼び出せます。

そして、ある記事で「2020年、謎の肺炎の正体を確かめるべく、鐘南山は高速鉄道で武漢に向かった」というエピソードが紹介されていたのですが、そこに鐘が使った切符の写真が載っていました。中国の切符は身分証と紐付けた実名制で、切符にも身分証番号が印刷されています。全部表示すると個人情報流出になってしまうので、18桁のうち6桁ぐらい隠しているのですが、数字6桁なので総当たり攻撃でさっくりと解けてしまいます。鐘南山ほどの有名人ですと、誕生日もバレバレですし。

で、鐘南山の身分証番号が発覚し、ワクチン接種記録を表示させたところ「未接種」との表示があって、「中国国産ワクチンは安全と言っていた本人が実は打っていなかったのか！」と大騒ぎに。

中国当局はデマだと否定。ワクチン接種記録を代理表示させる場合、省を超えたデータ共有がなされなかったのが原因だと解説しています。鐘南山は広東省でワクチンを接種しているため、広東省アプリで代理表示した場合には接種済みと表示されるけれども、別の省、例えば河北省アプリで代理表示させると未接種と表示されてしまうということだったのだという説明です。

この説明に納得した人もしていない人もいるわけですが、身分証番号が割れてしまうと、いともたやすく敏感な個人情報が流出してしまうわけです。日本のマイナンバーカードですと、カード本体のICチップを読み込む必要があるのでこうしたことはありえません。ただ、その分面倒で、物理的に同じ場所にいる人しか手助けできません。中国のやり方だと、日本に住んでる中国人が、両親のワクチン接種記録を呼び出し、スクショで送ってあげるといった超簡単なやり方ができるので。簡単さの裏側のリスクというわけです。

セキュリティ意識

根本の問題は中国当局が作っている仕組みが、悪用されるリスクをあまり重視していない点です。拙著『幸福な監視国家・中国』 (梶谷懐氏との共著、ＮＨＫ出版新書) で詳述しましたが、プライバシーや情報安全への取り組みは年々強化されつつありますが、それは民間の犯罪に焦点が当てられており、政府当局の仕組みを悪用される、あるいは政府内部の人間が悪さをするといったことがあまり想定されていないのが問題です。

特に中国の警察はきわめて多様な情報にアクセスできる一方で、どの警官が情報を見たかの管理が不行き届きとみられています。金を積まれて個人情報を売っている警官も多数いるとされ、名簿屋の大事な仕入れ元となっています。

それどころか、ホテルの宿泊客データベースに自由にアクセスし、「彼女が知らない男とホテルにチェックインしたので怒鳴り込んできた」という笑えない話まであったり。

＊＊＊＊＊＊＊

と、こんな感じの記事を用意していたところで10億人の個人情報流出が起きたわけですが、23TBもの情報を持ち出す前にアラートがかからなかったのか、そもそもデータを分散管理したり、アクセス権限のコントロールをしていなかったのか、と。

残念トホホとスゴいが混然と同居している、B級とS級の太極図こそが中国の醍醐味。これが私の持論で、『中国Ｓ級Ｂ級論』なんていう本も書いています。

今回の件も、簡単に使えて便利なデジタルサービスの裏側にはガバガバセキュリティという課題という、同じ構図があるのです。