2億2300万人のブラジル人がセラサ・エクスペリアンの情報漏洩被害に遭ったとされる事件

ブラジル全国民に影響を及ぼす可能性のある情報漏洩疑惑

ある脅威アクターが、グローバルな信用リスク企業エクスペリアンのブラジル子会社であるセラサ・エクスペリアンから1.8テラバイトのデータを盗んだと主張している。流出したとされるデータセットは2億2300万人の個人情報を含んでおり、この数字は金融データベースに記録が残っている故人も含め、事実上ブラジルの全人口を網羅するものである。

この主張によれば、盗まれた情報にはフルネーム、生年月日、メールアドレス、およびCPF番号が含まれるとされている。CPF（Cadastro de Pessoas Físicas）はブラジルの納税者番号であり、米国の社会保障番号に相当するものとして機能している。銀行サービスの利用、納税申告、本人確認、そして数多くの日常的な取引に用いられる番号だ。この情報漏洩が主張されている規模で確認されれば、単一国家における史上最大級のデータ流出事件の一つとなるだろう。

セラサ・エクスペリアンはブラジルで最も著名な信用調査機関の一つであり、国内のほぼすべての成人に関する金融・個人情報を保有している。同社は報道時点において、情報漏洩を公式に認めていない。

何のデータが盗まれたとされるのか、そしてその重大性

今回の情報漏洩疑惑で問題となるデータの種類の組み合わせは、特に深刻な懸念を生じさせる。CPF番号はパスワードとは異なり、リセットすることができない。一度流出した国民識別番号は、永続的なリスク要因となる。フルネーム、生年月日、メールアドレスと組み合わさることで、悪意ある行為者に対して身元詐欺の実行、不正なクレジット口座の開設、虚偽の納税申告、あるいは本人確認システムの突破に十分なほぼ完全なプロファイルを与えてしまう。

ブラジルはこれまでにも重大なデータ漏洩事件を経験している。2021年には別の情報漏洩事件により、数億人ものブラジル人のCPFおよび個人データが流出し、機密性の高い国家記録を委ねられた企業のセキュリティ対策に対して広範な懸念が生じた。同じ基本的な本人確認データが再度大規模に流出することは、そのリスクを大幅に増大させる。過去の事件を受けて自衛策を講じてきた人々も、この新しいデータセットが広く出回ることで、その努力が無駄になりかねない。

この種のデータは通常、地下フォーラムで売買されたり、詐欺に直接利用されたり、あるいは他の流出データセットと組み合わせて個人の詳細なプロファイルを構築するために使われたりする。今回主張されているデータ量（1.8TB）の規模は、これが小規模または標的を絞った窃盗ではないことを示唆している。

こうした情報漏洩がより広範なプライバシーの脅威を可能にする仕組み

よくある誤解として、データ漏洩の被害を受けるのは詐欺の直接の標的となった人々だけだというものがある。しかし実際には、今回のような大規模な情報漏洩は、日常のデジタル生活にまで及ぶ波紋効果をもたらす。

CPF番号やメールアドレスのような個人識別子が公になると、広告業者、データブローカー、そして悪意ある行為者は、その情報を他のオンライン行動と照合することができる。基本的な識別子が流出した場合、閲覧習慣、アプリの使用状況、位置情報、購入履歴などが実際の本人と結びつけられる可能性がはるかに高くなる。これは「再識別」と呼ばれることがあり、多くの人がオンラインで持っていると思っている事実上の匿名性を損なうものだ。

標的型詐欺にとどまらず、流出したデータはフィッシングキャンペーンを促進させる。被害者の氏名、メールアドレス、CPFを手にした詐欺師は、銀行、政府機関、または公共サービス会社から送られてきたように見せかけた説得力のあるメッセージを作成することができる。こうした攻撃は、本物の正確な情報を使用しているがゆえに、発見が困難になる。

あなたにとっての意味

ブラジルに在住している方、またはブラジルの金融・行政システムと関わりのある方は、この特定の情報漏洩とは関係なく、CPF番号および関連する個人情報がすでに流通している可能性があると考えるべきだ。これはパニックになる理由ではないが、自分のデジタル習慣を真剣に見直すべき理由ではある。

以下に、取るべき具体的な対策を示す。

• CPFの使用状況を監視する。 ブラジルのレセイタ・フェデラル（連邦税務局）および複数の金融プラットフォームでは、CPFの不正使用を確認することができる。これを定期的な習慣にしよう。
• 金融口座にアラートを設定する。 CPFや銀行口座の識別情報に紐づくすべての口座で、リアルタイムの取引通知を設定しよう。
• 外部からの連絡には懐疑的であること。 個人情報の確認を求めるメール、SMS、電話は、送信者があなたの情報を知っているように見えても、強い疑念を持って対応しよう。
• 強力で固有のパスワードと二段階認証を使用する。 流出したメールアドレスは、他のサービスに対するクレデンシャルスタッフィング攻撃に頻繁に利用される。
• 自分のブラウジングやデジタル活動がどの程度実際の本人と結びついているかを考える。 トラッキングを制限し、第三者が入手できるデータを減らすツールは、核となる識別子が流出した際にこそ、その価値がより高まる。

セラサ・エクスペリアンの情報漏洩疑惑は、単一のデータ流出によるリスクが一時的な出来事や一種の詐欺に留まらないことを改めて示している。基本的な本人確認データは、一度流出すれば何年にもわたって出回り続ける。口座監視、外部からの連絡への懐疑心、デジタルフットプリントの削減を組み合わせた多層的なプライバシー対策こそが、データ自体を取り戻すことができない状況において最も現実的な防衛手段となる。