データ漏えいは、一時的なテロよりも甚大な被害をもたらす場合があります。データ漏えいにより、ユーザーの人生の帰趨が変わってしまうかもしれません。企業、政府、個人も一様に、機密情報がさらされることで、大きな問題が発生する可能性があります。オフラインとオンラインのどちらであれ、ハッカーは、個人が使用しているインターネット、Bluetooth、テキストメッセージ、またはオンラインサービスを介してその人を特定できます。
細心の注意を払っていないと、小さな脆弱性が原因で大規模なデータ漏えいが起こる可能性があります。
人々の多くは、最新のセキュリティ脅威の仕組みを知らないため、これらに対して十分な注意を払っていません。
この記事では、データ漏えいについて、およびデータ漏えいがユーザーにどのように影響するかについて説明します。
詳しく調べるにつれて、いくつかのよく寄せられる質問に対する回答を得ることができます。
- データ漏えいとは?
- データ漏えいの原因は?
- データ漏えいはユーザーにどのように影響するのか?
- データ漏えいを防ぐためにユーザーに何ができるか?
詳しく調べる前に、簡単なデータ漏えいの定義から始めます。
データ漏えいとは
データ漏えいの定義:データ漏えいにより、機密情報、取り扱いに注意を要する情報、保護されている情報が不正な人物の手に渡ることになります。データ漏えいに遭ったファイルは、許可なく閲覧または共有されます。
個人からセキュリティレベルの高い企業や政府まで、誰にでもデータ漏えいのリスクがあります。より重要なことは、保護されていない限り誰もが他人をリスクにさらす可能性があることです。
通常、データ漏えいは以下における脆弱性が原因で発生します。
- テクノロジー
- ユーザーの行動
コンピューターやモバイルデバイスの接続機能が増えるに伴い、データがすり抜け落ちる場所も増えます。新しいテクノロジーは、私たちがそれらを保護するよりも速いペースで構築されています。
IoTセクターのデバイスは、私たちがセキュリティよりも便利さを重視する傾向がますます強まっていることを立証しています。
「スマートホーム」製品の多くには、暗号化の欠如などの重大な欠陥があり、ハッカーはそれらを悪用しています。
新しいデジタル製品、サービス、ツールはセキュリティのテストを最小限に抑えた状態で使用されているため、弊社は、この問題がさらに大きくなると考えています。
バックエンドテクノロジーが完璧にセットアップされたとしても、一部のユーザーが相変わらずお粗末なデジタル習慣を続ける可能性が高いでしょう。たった1人のユーザーのせいでWebサイトやネットワークが危険にさらされるのです。
ユーザーレベルと企業レベルの両方で包括的なセキュリティ対策が講じられていなければ、ユーザーがリスクにさらされることはほぼ確実です。
ユーザー自身とその他のユーザーを保護することは、データ漏えいがどのように起こるのかを理解することから始まります。
データ漏えいはどのように起こるのか
データ漏えいは外部のハッカーによって引き起こされると決めつけることはできますが、常にそうであるとは限りません。
データ漏えいが起こる理由を遡って追跡し、意図的な攻撃に帰着するかもしれません。しかし、データ漏えいは単に、個人による単純な見落としや会社のインフラストラクチャの欠陥の結果である場合もあります。
データ漏えいが起こる原因を以下に示します。
- 偶発的な内部関係者。例としては、従業員が同僚のコンピューターを使用していて、適切な権限の許可を得ずにファイルを閲覧する場合などがあります。このアクセスは無意識のうちに行われ、情報は共有されません。しかし、ファイルは許可されていない人物によって閲覧されているため、データが漏えいしたと見なされます。
- 悪意のある内部関係者。この人物は、個人または企業に損害を与えることを意図して故意にデータにアクセスしたりデータを共有したりします。悪意のある内部関係者は、データを使用するための正規の権限を持っている場合がありますが、その目的は情報を不正に使用することにあります。
- デバイスの紛失または盗難。暗号化およびロックされていないノートPCまたは外付けハードドライブ(機密情報が含まれるもの)を紛失します。
- 悪意のある外部の犯罪者。これらは、さまざまな攻撃経路を使用してネットワークまたは個人から情報を収集するハッカーです。
データを漏えいさせるために使用される悪意のある方法
悪意のあるデータ漏えいはサイバー攻撃の結果であるため、何に注意すべきかを理解する必要があります。
ハッカーに使用される一般的な方法を以下に示します。
- フィッシング
- 総当たり攻撃
- マルウェア
フィッシング。このソーシャルエンジニアリング攻撃は、ユーザーをだましてデータ漏えいを起こさせることを意図しています。フィッシング攻撃者は、ユーザーが信用している人物または組織のふりをしてユーザーを簡単に欺きます。この類の犯罪者は、ユーザーをうまく言いくるめて、機密情報へのアクセス情報やデータ自体を提供させたりしようと試みます。
総当たり攻撃。より大胆なアプローチとして、ハッカーはソフトウェアツールを利用してユーザーのパスワードを推測する場合があります。
総当たり攻撃は、推測が当たるまでパスワードに関するあらゆる可能性を探ります。この攻撃にはある程度時間がかかりますが、コンピューターの処理速度が向上し続けているため、攻撃の速度は上がっています。ハッカーは、ユーザーが使用しているデバイスなどのその他のデバイスへのマルウェア感染を介してハイジャックし、攻撃プロセスの速度を上げることさえします。パスワードの強度が低い場合、解読するのにわずか数秒しかかからない場合もあります。
マルウェア。デバイスのオペレーティングシステム、ソフトウェア、ハードウェア、または接続しているネットワークとサーバーにセキュリティ上の欠陥がある場合があります。犯罪者は、保護対象でのこれらのギャップを見つけ出して、マルウェアを送り込む完璧な場所として使用します。スパイウェアは特に、完全に検知されずに個人情報を盗み出すのに理想的なツールです。この感染を見つけたときには手遅れになっている場合があります。
データ漏えいの標的とは
データ漏えいは悪意のない間違いの結果である場合がありますが、不正なアクセス権を持つ人物が個人を特定できる情報(PII)または企業の知的財産データを盗み出して金銭的利益を得たり損害を与えたりする場合、真の損害が発生します。
悪意のある犯罪者には、データ漏えいのために組織を標的とするためのプランを練る、という基本的なパターンに従う傾向があります。これらの犯罪者は、標的を調査し、アップデートの欠落や失敗、フィッシングキャンペーンの影響を受けやすい従業員など、脆弱性がどこに潜んでいるかを探ります。
ハッカーは標的の弱点を見つけ出してから、内部関係者に誤ってマルウェアをダウンロードさせるためのキャンペーンを作成します。場合によっては、ネットワークを直接狙います。
いったん内部に侵入したら、悪意のある犯罪者は、必要なデータを自由に探し出すことができます。そして、それを行う時間もたっぷりあります。なぜなら、平均的なデータ漏えいを検知するのに5か月以上かかるからです。
悪意のある犯罪者の標的となる一般的な脆弱性には、以下が含まれます。
- 強度の弱い資格情報。大半のデータ漏えいは、盗まれた資格情報や強度の弱い資格情報が原因で発生します。悪意のある犯罪者が標的のユーザー名とパスワードの組み合わせを入手すると、その人のネットワークに侵入できます。大半の人々がパスワードを再利用しているため、サイバー犯罪者は総当たり攻撃を使用して、メール、Webサイト、銀行口座、PIIまたは金融情報のその他のソースに侵入できます。
- 盗まれた資格情報。フィッシングが原因で発生したデータ漏えいは大きなセキュリティ上の問題であり、サイバー犯罪者がその個人情報を入手すると、これを使用して銀行口座やオンラインアカウントなどにアクセスできます。
- セキュリティ上の問題がある資産。さまざまなマルウェア攻撃を使用して、通常であればコンピューターを保護できる正規の認証ステップが無効化されます。
- 決済カード詐欺。ガソリン給油機やATMに取り付けられたカードスキマーが、カードが読み取られるたびにデータを盗みます。
- サードパーティのアクセス。ユーザーはネットワークとデータの安全を確保するためにあらゆる手段を講じることができますが、悪意のある犯罪者はサードパーティ製造元を使用してユーザーのシステムに侵入する場合があります。
- モバイルデバイス。従業員は自分自身のデバイスを職場に持ち込む(BYOD)ことが許可されている場合、安全性が低いデバイスを使用して、デバイスに保存されているデータにハッカーがアクセスすることを可能にするマルウェアが仕込まれたアプリを簡単にダウンロードできます。多くの場合、このデータには、仕事用のメールとファイルや所有者のPIIが含まれます。
データ漏えいによって発生する可能性がある損害
多くの場合、パスワードを変更するだけではデータ漏えいに対する応急処置を施すことができません。データ漏えいの影響は、ユーザーの評判や財務などにとって長引く問題となる可能性があります。
企業の場合:データ漏えいは、組織の評判や収支決算に破壊的な影響を及ぼす場合があります。たとえば、Equifax、Target、Yahooなどの企業は、データ漏えいの被害者となったことがあります。そして現在でも、多くの人々は、これらの企業について、その実際の事業活動よりも、データ漏えいインシデント自体を連想または記憶しています。
政府の場合:セキュリティ上の問題があるデータが存在していることは、機密性の高い情報が外部にさらされる可能性があることを意味します。軍事活動、政治活動、重要な国家基盤に関する詳細情報は、政府と市民に重大な脅威をもたらす可能性があります。
個人の場合:個人情報の盗難は、データ漏えいの被害者にとって大きな脅威となります。データ漏えいにより、社会保障番号から銀行情報まで、あらゆる情報が暴露されます。犯罪者がこれらの詳細情報を入手すると、その人の名前であらゆる種類の詐欺に従事できます。ユーザーの個人情報が盗まれると、ユーザーの信用が傷ついたり、法的問題の責任を負わされたりし、反撃するのが難しくなります。
これらは一般的な事例ですが、データ漏えいに起因する危害は、このような状況をはるかに超えて拡大する可能性があります。このため、ユーザーのデータがすでにさらされているかどうかを調査することが不可欠です。個人用アカウントや仕事用アカウントにセキュリティ上の問題があるかどうかを確認するには、https://haveibeenpwned.com/を使用してチェックします(このツールは、ユーザーのメールアドレスに関して既存のデータ漏えいをチェックし、何が漏えいしているかを報告します)。
データが漏えいしているかどうかをリアルタイムで把握するためにより包括的な監視が必要な場合があります。カスペルスキー プレミアムなどの製品は、データ漏えいからの保護を提供し、この状況を切り抜けるお手伝いをします。
もちろん、ユーザー自身を保護する最善の方法は、そもそも被害者にならないことです。完璧なセキュリティプランというものは存在しませんが、個人であれ企業であれ自分自身を防御する方法は複数存在します。
データ漏えいの被害者にならないための方策
データ漏えいを防ぐには、エンドユーザーからIT担当者まで、およびその間にいるすべての関係者を含む、あらゆるレベルにいる全員が関わる必要があります。
データ漏えいによる攻撃を防ぐ方法を計画しようと試みている場合、一か所でもセキュリティが弱い箇所があれば、そこを狙われることを肝に銘ずる必要があります。システムとやり取りする全員が、脆弱性を持つ可能性があります。ホームネットワークでタブレットを使用する小さいお子様でさえ、リスクになる可能性があります。
データ漏えいを回避するベストプラクティスのいくつかを以下に示します。
- オプションが使用可能になると同時にソフトウェアのパッチ適用とアップデートを行う。
- 機密データに高度な暗号化を適用する。
- ソフトウェアがメーカーによってサポートされなくなったら、デバイスをアップグレードする。
- すべてのデバイスが企業向けのVPNサービスとアンチウイルスによる保護を使用するよう義務付けるなど、BYODセキュリティポリシーを施行する。
- 強力な資格情報と多要素認証を適用して、ユーザーによるより優れたサイバーセキュリティ対策を奨励する。パスワードマネージャーを使用するようユーザーを奨励すると役に立ちます。
- セキュリティのベストプラクティスとソーシャルエンジニアリング攻撃の回避方法について従業員を教育する。
関連記事:
