「サイバー攻撃」と一言で言っても、その手法はさまざまだ。「サイバー」とは「コンピュータの」や「インターネットの」という意味である。コンピュータやインターネットを使ったサイバー攻撃にはいくつか種類があるが、その1つがスパイ活動だ。企業から事業計画や顧客情報、最先端の技術情報などの知的財産、政府から安全保障や外交上の機密情報を盗む。

サイバー攻撃によるスパイ活動の例を2つ見てみよう。第1の事例は、顧客の個人情報が大量に盗まれ、顧客からの集団訴訟が相次ぎ、破産法の適用を申請するに至ったアメリカの企業に関するものだ。第2の事例は、若い女性の写真をソーシャルメディア上で使い、重要な情報を持っていそうな幹部と友達になることで情報を盗もうとする活動である。

個人情報1190万人分が流出

2019年、ニューヨーク州にある医療費債権回収業者の「米医療費回収機関（AMCA）」から、複数の顧客企業の患者2000万人分の個人情報が流出した。原因は、2018年8月〜2019年3月に行われたAMCAの支払いウェブサイトへのサイバー攻撃だった。攻撃者が誰だったかは明らかにされていない。

最初に被害について知ったのは、アメリカの医療検査サービス企業「クエスト・ダイアグノスティクス（以下、クエスト社）」である。2019年5月中旬、サイバー攻撃で情報が流出したとの一報をAMCAから受けた。その2週間後に、影響を受けた患者数や盗まれた個人情報の種類について報告があったが、どの患者の個人情報が盗まれたかについては3週間近く経っても不明のままだった。

クエスト社の被害は甚大だった。1190万人の患者からクレジットカード番号、銀行口座情報、医療情報、社会保障番号が盗まれた。検査結果はクエスト社からAMCAに提供されていなかったため、サイバー攻撃で盗まれずに済んだという。サイバー攻撃が判明した後、クエスト社はAMCAとの取引を中止、調査のためにサイバーセキュリティ企業を雇った。