［米国］
Monster.comの個人情報盗難事件、連邦政府の求職サイトも被害に

USAJobs.govへの登録者14万6,000人分が盗難

（2007年09月03日）

　求職情報サイト「Monster.com」のデータベースを荒らした個人情報窃盗団が、米国連邦政府の求職サイトに登録されていた個人情報も盗んでいたことが明らかになった。連邦政府職員の話によると、盗まれた個人情報は14万6,000人分に上るという。

　被害にあったのは連邦政府の公式求職サイト「USAJobs.gov」で、Monster.comと同じモンスター・ワールドワイドが運営を担当している。USAJobs.govは、連邦の行政事務を管理する独立機関OPM（人事局）のWebサイトで、モンスターの商用サイトと同様、求職者が履歴書を掲示したり、連邦機関が求人情報を掲示したりすることができる。

　USAJobs.govへの登録者はおよそ200万人で、そのうち14万6,000人がトロイの木馬プログラム「Infostealer.Monstres」によって個人情報を盗まれた。このプログラムは、採用者から盗んだ正当なログイン名を用いてデータベースを精査したと見られている。

　Monster.comの幹部によると、このトロイの木馬は、Monster.comなどの求職サイトから合計で130万人分の氏名、住所、電子メール・アドレス、電話番号を持ち去ったという。盗まれた情報の中に14万6,000人分のUSAJobsユーザーが含まれていた。

　OPMは、社会保障番号は盗まれなかったことと、モンスターと連携してデータ保護のための長期的対策に取り組んでいることを、USAJobs.govの掲示版に記している。

　またOPMは、盗難情報を用いたフィッシング攻撃に注意するよう呼びかける手紙を全加入者に送付した。「金融取引や小切手の現金化の管理にかかわる求人広告の詐欺電子メールに注意してください。そうしたメールは、マネー・ロンダリング（資金洗浄）や不渡り小切手詐欺に巻き込もうとします」（OPMが送付した手紙より）

　OPMの広報担当者は米国時間の8月31日早朝、ロイター・ニュース・サービスの取材に応じ、政府が最初に盗難に気づいたのは、ある求職者がフィッシング・メッセージを送り付けられたと報告した7月20日だと語っている。

　米国シマンテックの研究者がモンスターにデータ侵害について通知したのは8月17日だが、それより1カ月以上前の7月5日に他のセキュリティ研究者が、モンスターの商標を付したフィッシング・メールを報告している。これを受け、モンスターのCEOは8月30日、8月中旬の盗難はMonster.comへの最初の攻撃ではないと認めた。

　モンスターは、USAJobs.gov以外にも、他の組織が所有するサイトの求職コーナーを運営している。例えば、Military.comにおける軍人の配偶者向けキャリア・サービスの提供、フィラデルフィア・インクアイアラー紙などと提携した検索サービスの運営、ロサンゼルス警察をはじめとする連邦、州、地方政府の求職システムの運営などがそうだ。こうしたサービスがInfostealer.Monstresの被害にあったかどうかは、今のところ不明だという。

(グレッグ・カイザー／Computerworld オンライン米国版)