みなさんこんばんは
ネットナンパ師Soyです。
2021年5月21日、マッチングアプリ「Omiai」の171万1756件の年齢確認書類の画像データが流出していることがわかった。
出会い系アプリ、マッチングアプリは出会い系サイト規制法により身分証やクレジット決済による年齢確認が義務化されている。
特に、Omiaiはマジメ系のマッチングアプリであり、本人確認も厳格で身分証の写真や住所などの個人情報を隠すことができなかった。
そのため、顔から、年齢、住所まで個人を完全特定できる情報が流出してしまったと言える。
これほどまでに、質の高い個人情報が大量流出した事件はないのではないだろか?
俺は運よくOmiaiは年齢確認まではしていなかったのだが、出会い系アプリをいくつも使っている身としては気が気でない。
というわけで、身分証の写真でどこまで悪用ができるのか、実際に銀行口座開設やクレジットカードを作り抜け道がないか探ったり、ほかのマッチングアプリの年齢確認書類の管理体制を調べてみた。
銀行に問い合わせたり、細かく調べたので20時間以上かかって疲れた。w
素人レベルの調査だが、少しでも流出で不安を感じている方の参考になれば幸いだ。
事件の詳細
出典:Omiai公式HP
上記の画像は、5月21日にOmiaiを運営する株式会社ネットマーケティングが発表した事件の概要だ。
流出した画像データは、2018年1月31日~2021年4月20日の間に提出された年齢確認書類171万1756件。
審査に使われている書類は、「運転免許証」、「健康保険証」、「パスポート」、「マイナンバーカード」の4種類で、6割は運転免許証のデータであったようだ。
Omiaiのプライバシーステートメント6項「当社におけるお客様情報の保有」によると、Omiaiは退会後も10年間会員情報を保有するとしている。
そのためか、今回の流出では退会をした人の画像データも流出する事態となってしまっている。
Omiaiの発表や報道を読む限りでは、流出したデータは画像データのみで、アプリ内で記入した年収や職業などの情報は含まれていない模様。
また、決済業務は金融機関に委託していたため、クレジットカード情報の流出の心配は無いとのことだ。
年収や趣味などマッチングアプリ内の情報も紐づけて漏れていたら、かなりまずかったよな。
自身が該当するか心配の方は、以下の問い合わせフォームから確認してみるといいだろう。
暗号化はされていなかった
情報漏洩対策としてデータの暗号化は基本だが、報道によるとOmiaiはそのままのデータをオンライン保管していた。
参考:朝日新聞デジタル-婚活アプリの個人情報が流出か 免許証など171万件
身分証の写真なんて一度確認が済んでしまえば何度もアクセスするものでは無いので、面倒でもオフラインで保存できたんじゃないかと思うのだが、暗号化無し&オンライン保管していたというのは杜撰としか言いようがない。
個人情報保護認証であるTRUSTeマークも取得、インターネット異性紹介事業の認可も受けている東証一部上場企業なので、俺も安全だと思っていたのだが…蓋を開けてみると分からないものだな。
SNSを見てみると、Omiaiに登録した人は危機管理がなっていないと情弱扱いしている人もいるが、見抜きようがないだろうと思う。
調べてみると、現在Omiaiが運営されているAWSというアマゾンが提供するクラウドサービスへ、1人のインフラエンジニアによって移行作業がおこなわれたという資料が出てきた。
この資料を見てみると、他社見積もりでは10人月かかるという工程を、2人月(1人×2ヵ月)でこなしたとのこと。
この技術者さんが超優秀なだけなのかもしれんが、屋台骨を1人に任せてしまっていいものなのか!?
俺はエンジニアではないので、これが常識的なものなのか分からないのだが、大事な部分もコストカットしていく企業体質な気がしてしまうな。
参考記事:20130912 「Omiai」を支えるインフラノウハウを大公開!(削除済み)
流出した身分証は悪用されてしまわないのか?
身分証の画像が流出したとなると、怖いのは悪用だ。
今年、俺の知人も、ツイッターの取り引きでクレジットカードを勝手に作られてしまう詐欺にあったばかりだった。
信用のために身分証の写真を送ったのと、振込先の銀行口座を教えていたためだろう。(知人が売り手側だった。)
クレジットカードが身分証の住所である自分の家に送られてきたために実害は無かった。
おそらく、クレジットカードを作るとお金が貰えるポイントサイトやアフィリエイトもあるので、開設自体が目的だったのではないかとおもうのだが、クレジットカードを犯人が受け取っていたらマズかったよな。
今回のOmiaiの流出事件の報道やSNSの反応を見ていると、「銀行口座開設やサラ金などで悪用される危険が高い。」と言う意見や「そこまで怖がる必要はない。」という意見まで様々。
安全という話も楽観的すぎるし、危険という意見も具体性な手口の説明がなくどちらも信用ならん。
(厳密に調べるとアホほど時間がかかるので、知識のないライターがいい加減な記事を書いていることは良くある。)
なので、「銀行口座」や「クレジットカード」などで検索して、申し込み手順を実際に試してみて、どう悪用すれば画像データが使えるのか調べてみた。
結論から言うと、画像データ1枚だけでは悪用は難しいと感じた。
以下、詳細を書いていく。
検索で目に止まる範囲(1.2ページ目)をすべて試したのでめちゃくちゃ時間がかかって疲れた。w
あくまで、素人が実際にどうすれば悪用できるか真剣に考えてみたレベルなので参考までに。
銀行口座開設のリスク
インターネットで銀行口座を勝手に開設されて、マネーロンダリングや振り込み詐欺の口座に使われるというリスクが考えられる。
実際に複数の銀行で試してみたところ、
2.顔の画像と、免許書の表、裏、厚みを写した画像
3.種類の違う身分証明書の写真2点(または、身分証の写真1点+公共料金の領収証)
のいずれかが、必要だった。
「1」と「2」は、免許証の原本が必要で、顔も免許証の写真と同じでなければならない。
「3」は、複数の身分証の用意が必要になる。
そして、受け取りの住所は身分証の住所と同じ住所でなければならない。
調べたところ、2020年4月1日に「犯罪による収益の移転防止に関する法律」が改定され、銀行口座を開設するのに必要な本人確認書類が増えたようだな。
以下のリンクの、22~23ページ目参照。
https://www.npa.go.jp/sosikihanzai/jafic/hourei/data/hougaiyou20201001.pdf
それで、悪用する方法を考えてみると、まずは身分証の住所の変更が絶対条件になる。
これは安直に考えると簡単にパスされてしまうように思える。
免許書は住所が変わると裏面に変更先の記載がされるので、表面は流出画像を使って、裏面は犯人自身が転移し自身の免許証の裏面の画像を使えばいいからな。
と思ったのだが、最近の画像データの判別は、「その場で撮影したものか」、「偽造された身分証でないか」、「偽造された背景でないか」、「使いまわされていないか」まで検知しているのだとか。
裏面と表面の撮影環境が違うようなら即ばれてしまうだろう。
顔認証の精度も照合精度99.95%以上と双子でも見分けられるほど精度が高いらしい。
参考:https://www.itmedia.co.jp/enterprise/articles/1907/01/news009.html
それでも、もしかしたら突破されてしまうかもしれない。
流出情報をもとにした偽造免許証で、なりすまし口座が作られる心配はないのか複数のネット銀行に問い合わせてみた。(時間をとらせて申し訳ない。)
その結果、身分証の情報や登録情報に不審な点がないか細かく照会し、不明な点があった場合には連絡などで詳細を確認しているとの回答だった。
うーん、ぼんやりした回答で答えになっていない。
俺が悪用側の可能性もあるだろうし、さすがに照会内容の詳細は教えられないんだろうな。
だが、登録情報の細かい所まで整合性を確認しているのは間違いないだろう。
例えば、推測になるが、口座開設には電話番号の登録も必須だし、電話番号の住所や契約者と一致しているかなどの確認は簡単にできるだろう。
また、免許証番号の照会で警察に届けられている転移履歴を調べることが可能であれば、先に話した別の免許証の裏面を使う方法もできないのではないか。
ひとまず、身分証の画像データ1枚だけでは、なりすましで口座を開設をするのは不可能に近いように感じた。
消費者金融のリスク
カードローンで検索すると「銀行口座不要、身分証だけでOK!」と広告が出てくるので不安に思う人もいるだろう。
流出したデータでローンもできるのか調べてみた。
消費者金融で借り入れるには以下のいずれかが必要になる。
2.顔写真つき身分証の画像データと本人の動画
3.本人確認書類2点
振り込みの場合は、本人名義の銀行口座が必要になる。
店頭で借入れする場合には、顔写真つき身分証の原本が必要だ。
また、職場への在籍確認や、50万円以上の借入には給与明細などの収入証明書が必要になる。
悪用するとなると、なりすましの銀行口座を作るのが難しいので、振り込みではなく店頭受け取りになるだろうな。
その場合は、免許証の原本と、免許証と同一人物かの確認が必要になる。
以下の動画で、カードローンの無人契約機の手続きの様子が見ることができるので参考になると思う。
精巧な偽造免許証を作れる技術があり、そっくりさんであれば銀行口座開設よりハードルは低いように感じたが、消費者金融も貸し損になるわけにはいかないので、電話番号や住所などの登録情報の整合性を確認して審査をしているだろう。
なりすましで借りられた事件を調べてみると、親族や友人に原本を貸した・盗まれたというケースばかりなので、画像データ流出ではそこまでリスクはなさそうだ。
ちなみに、なりすましによる借金は、貸金業法により身分証を悪用された本人には返済義務はない。
ただ、1度でも返済をしてしまうと契約を追認したことになり返済義務が生じる。
身に覚えのない請求が来ても、あわてて支払わず消費者金融や警察に連絡した方がいいだろう。
クレジットカードを作られてしまうリスク
クレジットカードの発行も、2020年4月1日に改定された「犯罪による収益の移転防止に関する法律」により、必要書類が増えている。
2.本人確認書類2点または、本人確認書類1点+公共料金の領収書等
現在は、ほとんどのクレジットカードが「1」の本人限定受取郵便での本人確認を採用している。
本人限定受取郵便は、本人でなければ受け取ることができず顔写真付きの身分証が必要だ。
受け取りの際には、身分証をOCR機能でスキャンし、生年月日を聞かれたり顔の確認も入念におこなわれる。
また、原則として、クレジットカードの名義と引き落としの銀行口座の名義が同一人物でなければならない。
身分証の原本が必要+本人名義の銀行口座が必要と、悪用のハードルは非常に高いように感じた。
俺の知人のように、身分証の写真+銀行口座で家に本人限定受取郵便でカードが送られてくるということはありうるだろうな。
携帯回線を作られてしまうリスク
自分名義の携帯回線を作られ犯罪に利用されてしまうリスクも考えられるので、契約するために必要な本人確認書類を調べてみた。
2.顔写真付き身分証1点、または顔写真のない身分証明書+公共料金の領収書など
webでの契約では、クレジットカードの契約と同じ本人限定受取郵便か、身分証の画像をアップロード方法が使われていた。
またwebでの契約・店頭の契約ともに、本人名義のクレジットカードまたは、銀行口座も必要だ。
身分証の画像データ1点でも開設できるので銀行口座より簡単そうに思えたが、クレジットカードや銀行口座も必要となると、これも悪用は厳しそうだ。
ほかに考えうる悪用のリスク
リスクとして取りざたされていることの多い「銀行口座開設」、「消費者金融」、「クレジットカード」、「携帯回線の契約」などは、原本や、複数の身分証が必要であること以外にも、お互いに必要書類として関わり合っているので、画像データ1枚での悪用は難しいと思われる。
Twitterで、Omiaiの個人情報流出で警察に相談した方たちのツイートを見ても、悪用される危険性は低く対処できるすべもほとんどないようだ。
だが、住所は身分証1枚で分かってしまうので、送り付け詐欺などの直接的な被害は警戒した方がいいだろう。
例えば、「Omiaiで流出したデータを〇万円でダークウェブから消せます。」なんてシンプルな詐欺や、婚活中のリストとして売られて結婚詐欺のターゲットになることもありうるよな。
あとは、ほかのマッチングアプリでの年齢確認に使われてしまうことはありえそうだ。
SNSや、アカウント売買サイトを調べたところ、少量だったが年齢確認済みのマッチングアプリアカウントの販売もみられた。
もし自分の身分証が年齢確認に使われてしまった場合には、そのマッチングアプを自身が使おうとした時に年齢確認を突破できないということがおこるかもしれない。
ひとまず、なりすましで契約するなどの悪用は難しく過度に心配する必要はなさそうだが、今回流出してしまった方は、家にくる郵便物は未開封のまま放置せずしっかりチェックし、不審な着払いは受け取らないなど警戒をおこたらないようにしないといけないな。
ほかのマッチングアプリの身分証写真の扱い
厳格なイメージであるOmiaiで流出してしまったとなると、ほかのマッチングアプリでの年齢確認書類の取り扱いが心配になる。
各アプリやサイトの年齢確認で使える身分証の種類や、取り扱いを調べてみた。
ペアーズ
| インターネット異性紹介事業の認可 | あり |
| 個人情報の取り扱い | TRUSTeの認証済み |
| クレジットカード決済による年齢確認 | × |
| 年齢確認に使える書類 | 運転免許証 パスポート 健康保険証 マイナンバー |
| 身分証の個人情報 | 隠せず |
| 破棄までの期間 | 一定期間保管したのち削除 |
タップル
| インターネット異性紹介事業の認可 | あり |
| 個人情報の取り扱い | TRUSTeの認証済み |
| クレジットカード決済による年齢確認 | × |
| 年齢確認に使える書類 | 運転免許証 健康保険証 パスポート マイナンバーカード 住民基本台帳カード 共催組合員証 在留カード 特別永住者証明書 障碍者手帳 |
| 身分証の個人情報 | 隠せず |
| 破棄までの期間 | 一定時間保管したのち削除 |
with
| インターネット異性紹介事業の認可 | あり |
| 個人情報の取り扱い | JAPHICの認証済み |
| クレジットカード決済による年齢確認 | × |
| 年齢確認に使える書類 | 運転免許証 健康保険証 パスポート マイナンバーカード 住民基本台帳カード 自衛官診療証 在留カード 特別永住者証明書 障碍者手帳 療育手帳 年金手帳 |
| 身分証の個人情報 | 隠せず |
| 破棄までの期間 | 不明 |
ハッピーメール
| インターネット異性紹介事業の認可 | あり |
| 個人情報の取り扱い | JAPHICの認証済み |
| クレジットカード決済による年齢確認 | 〇 |
| 年齢確認に使える書類 | 運転免許証 健康保険証 年金手帳 パスポート 外国人登録証明書 在留カード 特別永住者証明書 マイナンバーカード 住民基本台帳カード 共催組合員証 社員証 学生証 在学証明書 卒業証書 区民書 身体障害者手帳 保険証券 健康診断証明書 |
| 身分証の個人情報 | 生年月日、書面の名称、書面の発行者名のみでOK |
| 破棄までの期間 | 確認後即時に破棄 |
ワクワクメール
| インターネット異性紹介事業の認可 | あり |
| 個人情報の取り扱い | JAPHICの認証済み |
| クレジットカード決済による年齢確認 | 〇 |
| 年齢確認に使える書類 | 運転免許証 健康保険証 学生証 社員証 年金手帳 診察券 住民票 住民基本台帳カード パスポート 在留カード 資格・検定証 会員カード その他、年齢確認できる書面 |
| 身分証の個人情報 | 生年月日、書面の名称、書面の発行者名のみでOK |
| 破棄までの期間 | 確認後即時に破棄 |
PCMAX
| インターネット異性紹介事業の認可 | あり |
| 個人情報の取り扱い | JAPHICの認証済み |
| クレジットカード決済による年齢確認 | 〇 |
| 年齢確認に使える書類 | 運転免許証 健康保険証 パスポート マイナンバーカード |
| 身分証の個人情報 | 生年月日、書面の名称、書面の発行者名のみでOK |
| 破棄までの期間 | 確認後即時に破棄 |
Tinder
| インターネット異性紹介事業の認可 | なし |
| 個人情報の取り扱い | なし |
| クレジットカード決済による年齢確認 | × |
| 年齢確認に使える書類 | 運転免許証 パスポート 健康保険証 マイナンバー |
| 身分証の個人情報 | 隠せず |
| 破棄までの期間 | 90日以内に削除 |
Mコミュ
| インターネット異性紹介事業の認可 | あり |
| 個人情報の取り扱い | なし |
| クレジットカード決済による年齢確認 | × |
| 年齢確認に使える書類 | 運転免許証 健康保険証 |
| 身分証の個人情報 | 隠せず |
| 破棄までの期間 | 退会から120日後、登録メールアドレス届くメールに「年齢承認削除依頼」と返信すると削除 |
出会い系サイト規制法により、18歳未満が出会い系を使用できないよう年齢確認は義務化されている。
そのため、マッチングアプリを利用するには、クレジットカード決済や身分証の画像データでの年齢確認が必須だ。
ペアーズ、タップル、with、tinder、Mコミュは身分証のみの年齢確認となり、個人情報の塗りつぶしはできない。
ハッピーメール、PCMAX、ワクワクメールは、身分証の写真や住所などの個人情報の塗りつぶしが可能となっている。
さらに、年齢確認後はデータが即破棄される。
また、クレジット決済での年齢確認にも対応しているので、写真を送るのが心配という方はクレジット決済を利用するのも手だ。
そのことから、情報流出時の安全性で考えれば、ハッピーメール、PCMAX、ワクワクメールが抜けていると言えるだろう。
ただ、ハッピーメール(R18)、PCMAX(R18)、ワクワクメール(R18)ともに、真面目な出会いというよりかは遊び相手を探すのに向いている出会い系だと個人的に思う。
もちろん、まじめな出会いを探している会員もいるが、婚活会員の割合が多いアプリを使いたい方は、身分証のデメリットを承知でOmiaiやペアーズを利用した方がいいだろう。
流出してしまった場合の対策
残念ながら、すでに身分証が流出している場合には、できる対策はほとんどない。
身分証の画像1枚では銀行口座開設やクレジットカード作成など、なりすましの悪用はかなり難しいが、心配な方は以下の対処が可能だ。
・信用情報機関(CIC・JICC)に申請する(ただし自分でクレカを作る時の審査も厳しくなる)
また、送り付け詐欺などは起こりうるので、郵便物のチェックをおこたらず、不審な着払いなどは受け取らないようにしよう。
ほかに、複数のマッチングアプリを利用する際は、登録する身分証は統一し、複数の身分証が流出しないように注意した方がよさそうだな。
しかし、しっかりしているイメージを押し出していたOmiaiで、個人情報が流出するとは驚いた。
ユーザーは、企業体質や技術的なものまで調べあげて利用しなければならないというのは無茶がある。
ほかのマッチングアプリも、今回の事件で情報の管理の重要性を認識しただろうし、身分証は年齢確認後に即削除かローカルでデータを保存するなど管理を徹底して欲しいわ。
そして、事件から1ヵ月以上、Omiaiの発表から1週間以上経過したが、いまのところ追加の情報は何もない。
今回流出してしまった人たちは、不安で仕方がないだろう。
株式会社ネットマーケティングが誠実な対応をしてくれることを願う。
以上、ネットナンパ師Soyでした。
よかったら、ほかの記事も読んでいってくれよな!
おすすめの出会い系サイト
運営20年以上、会員登録数1900万人以上の最大手のマッチングサイトなので、知っている人も多いと思う。
アクティブユーザーも1日60万人いるので、簡単に出会いやすい。
俺もメインの出会い系として、長年愛用している。
女性は完全無料。
男性は、登録無料、月額費不要で初回無料ポイントも貰えるから、使ったことがない人は試してみることをおすすめする。
登録は、アプリ版よりポイントが安くキャンペーンがあるPCMAXweb版(R18)がいい。登録から2日間以内なら購入ポイントが増えるキャンペーンもやっているので、この期間にポイントをまとめ買いしておくとお得。
次点でハッピーメール(18禁)もおすすめ。
ほかにも遊びでも使える出会い系アプリをまとめてみた
↓↓
