セキュリティ違反とは、コンピュータのデータ、アプリケーション、ネットワーク、デバイスへの不正アクセスを引き起こすあらゆるインシデントを指します。その結果、許可なく情報にアクセスされることになります。通常、侵入者がセキュリティの仕組みを迂回できる場合に発生します。
技術的に言うと、セキュリティ違反とデータ漏洩には違いがあります。セキュリティ違反は結局、不法侵入のことですが、データ漏洩はサイバー犯罪者が情報を盗み出すこと定義されます。強盗を想像してください。セキュリティ違反は強盗が窓から侵入することで、データ漏洩は強盗が財布やノートパソコンをひったくり奪い去ることです。
機密情報には多大な価値があります。しばしばダークウェブで販売されます。たとえば、氏名、クレジットカード番号などが購入された後、なりすまし犯罪や詐欺に利用されることがあります。セキュリティ違反が企業に多額の損害を与える可能性があるのは、驚くことではありません。平均すると、その額は大企業でほぼ400万ドルです。
セキュリティ違反の定義をセキュリティインシデントの定義と区別することも重要です。インシデントには、マルウェア感染、DDOS攻撃、従業員によるタクシーへのノートパソコンの置き忘れなどがありますが、それがネットワークへのアクセスやデータの損失に至らなければ、セキュリティ違反にはなりません。
セキュリティ違反の例
大企業がセキュリティ違反に遭うと、必ず大ニュースになります。セキュリティ違反の例には次のようなものがあります。
- 米国の信用情報機関大手Equifax - 2017年にWebサイトのアプリケーションに見つかった脆弱性が、米国人顧客1億4500万人の個人情報流出を引き起こしました。これには顧客の氏名、SSN、運転免許証番号などが含まれていました。攻撃は5月から7月までの3か月間におよびましたが、このセキュリティ違反は9月まで発表されませんでした。
- インターネット関連サービス大手Yahoo - 2013年、フィッシング攻撃によりハッカーがネットワークへのアクセスに成功し、30億のユーザーアカウントが流出しました。
- グローバルEC大手eBayは、2014年に大規模な情報漏洩に遭いました。PayPalユーザーのクレジットカード情報は免れましたが、大勢の顧客のパスワードが流出しました。同社はただちに行動に出てユーザーにメールを出し、安全確保のためにパスワードの変更を依頼しました。
- 不倫したい既婚者を対象にした出会い系サイトAshley Madisonは、2015年にハッキング被害に遭いました。ハッカーは膨大な数の顧客情報をインターネットに流出させ続けました。脅迫やゆすりの手口を使う攻撃者が、名前の流出した顧客を標的にし始めました。複数の自殺がデータ侵害による情報の露出と関連しているとする未確認情報もあります。
- ソーシャルネットワーキングサービス会社Facebookは、2018年、社内ソフトウェアの不具合が原因で29万人のユーザーの個人情報流出に遭いました。これはとりわけばつが悪いセキュリティ違反でした。というのも漏洩したアカウントには、同社のCEOであるマーク・ザッカーバーグ氏のアカウントも含まれていたのです。
- 世界的なホテル大手のMarriott Hotelsは、2018年、セキュリティ違反と情報漏洩に遭い、500万人の顧客データが被害を受けたと発表しました。しかし、同社の宿泊客予約システムは2016年にハッキングされていたのです。これによるデータ漏洩が発覚したのは2年たってからでした。
- 恐らく最もばつが悪いのは、サイバーセキュリティ会社でありながら被害を免れられなかったケースです。チェコの大手セキュリティ企業Avastが2019年、セキュリティ違反に遭ったことを発表しました。ハッカーが従業員のVPNログイン情報を流出させたのです。この漏洩は顧客情報を脅かすことはありませんでしたが、Avast製品にマルウェアを挿入することを狙ったものでした。
10年ほど前は、多くの企業が、顧客の信頼を失うことを恐れてセキュリティ違反のニュースを隠そうとしていました。しかし、こういったことは次第に珍しくなってきています。EUでは、EU一般データ保護規則(GDPR)により、企業は関連当局および個人情報が被害を受ける恐れのある個人に違反を通知することを義務付けられています。2020年1月でGDPRが施行されてちょうど18か月になり、すでに、160,000件を超えるデータ漏洩が通知されました。1日にすると250件を超える数です。
セキュリティ違反の種類
セキュリティ違反は、システムへのアクセスの取得方法によっていくつもの種類に分けられます。
- エクスプロイトは、最新の状態でないオペレーティングシステムなど、システムの脆弱性を攻撃します。たとえば、サポートされなくなった古いバージョンのMicrosoft Windowsを使用している企業の更新されていないレガシーシステムは、特にエクスプロイトに対して脆弱です。
- 弱いパスワードは破られたり、推測されたりする可能性があります。今でもなお、一部の人々はまだ「password」というパスワードを使用していますし、「pa$$word」もたいして安全ではありません。
- フィッシングメールなどのマルウェア攻撃は侵入するために使用されることがあります。1人の従業員がフィッシングメールに含まれているリンクをクリックするだけで、悪意のあるソフトウェアがネットワーク全体に広がり始めます。
- ドライブバイダウンロードは侵害されたWebサイトや偽装されたWebサイトを介して配信される、ウイルスまたはマルウェアを使用します。
- ソーシャルエンジニアリングも侵入するために使用されます。たとえば、侵入者が従業員に電話をかけて、社内のITヘルプデスクからだと名乗り、コンピュータの「修理」のためにパスワードを要求します。
前述のセキュリティ違反の例では、侵入するためにさまざまな技法が用いられていました。Yahooはフィッシング攻撃を被りましたが、Facebookはエクスプロイトによってハッキングされました。
大企業に影響を与えるセキュリティ違反についてお話してきましたが、セキュリティ違反は同じように、個人のコンピュータその他のデバイスにも当てはまります。エクスプロイトを利用したハッキングに遭う可能性は低いかもしれませんが、多くのコンピュータユーザーが、ソフトウェアパッケージの一部としてダウンロードしたか、フィッシング攻撃からコンピュータに入り込んだかを問わず、マルウェアの影響を受けています。弱いパスワードやパブリックWi-Fiネットワークの使用が、インターネット通信の侵害を引き起こすこともあります。
セキュリティ違反に遭ったときにすべきこと
大企業の顧客として、その企業がセキュリティ違反にあったことを知ったら、または自分のコンピュータが侵害されていることがわかったら、ただちに安全を確保するための行動を取る必要があります。1つのアカウントや口座がセキュリティ違反に遭うと、他のアカウントもリスクにさらされるということを忘れないでください。パスワードが共有されている場合や、口座間でたびたび取引を行っている場合は特にそうです。
- 侵害に自分の金融情報が関係している場合は、口座を持っている銀行その他の金融機関に連絡してください。
- すべてのアカウントのパスワードを変更しましょう。アカウントに伴い、秘密の質問と答えやPINコードがある場合は、それも変更しなければなりません。
- セキュリティ凍結を検討してもよいでしょう。これにより、なりすまし犯罪にデータを利用しようとしている者や名前を利用しようとしている者を阻止します。
- 信用報告書を確認して、誰かが自分の個人情報を利用して借金を申し込もうとしていないかを調べましょう。
- どの情報が盗まれた可能性があるかを明らかにしましょう。そうすれば事態の深刻度がわかります。たとえば、税情報やSSNが盗まれた場合は、迅速に行動してなりすましの被害に遭っていないかを確認してください。この状況は、クレジットカード情報を盗まれただけの場合よりも深刻です。
- データ漏洩の後に企業から個人データを要求されても直接対応しないでください。ソーシャルエンジニアリング攻撃の可能性があります。時間を取って、ニュースを読んだり、企業のwebサイトを調べたり、もっと言えば顧客サービスに電話をかけたりして、その要求が正規のものかどうかを確認しましょう。
- 他の種類のソーシャルエンジニアリング攻撃に用心しましょう。たとえば、ホテルのアカウントにアクセスできるようになった犯罪者は、金融情報がなくても、顧客に電話をかけて最近の滞在に関する意見や感想を求める場合があります。電話の終わり頃には信頼関係を築いており、犯罪者は駐車料金の返金を申し出て、支払いをするために顧客のカード番号を要求するかもしれません。ほとんどの顧客はその電話に説得力があれば、恐らく、ためらうことなく尋ねられた情報を教えてしまうでしょう。
- 新しいアクティビティの兆候がないかアカウントを監視しましょう。身に覚えのない取引が見つかったら、ただちに対処してください。
セキュリティ違反から身を守る方法
データ漏洩を免れる人は誰もいませんが、適切なコンピュータセキュリティの習慣を身に付ければ、脆弱性を軽減し、打撃を抑えて侵害を切り抜けることができます。以上のヒントは、ハッカーがコンピュータその他のデバイスにおける個人の安全を侵害できないようにするのに、間違いなく役立つでしょう。
- 強いパスワードを使いましょう。大文字と小文字、数字、記号をランダムに組み合わせた文字列にしましょう。単純なパスワードより破るのが格段に難しくなります。家族の名前や誕生日など、簡単に推測できるパスワードは使用しないでください。パスワードマネージャーを使用して、パスワードの安全を確保しましょう。
- 異なるアカウントには異なるパスワードを使用しましょう。同じパスワードを使用すると、1つのアカウントに侵入したハッカーが別のアカウントにも侵入できるようになります。パスワードが違っていれば、危険にさらされるのが1つのアカウントのみになります。
- 使っていないアカウントは休止状態にしておかないで閉じましょう。セキュリティ違反に対する脆弱性を減らすことになります。アカウントを使用していないと、侵害されても全く気付かず、そのアカウントが他のアカウントのバックドアとして利用されるかもしれません。
- パスワードは定期的に変更しましょう。公表された多くのセキュリティ違反の特徴の1つが、長期簡にわたって発生し、違反の数年後まで報告されない場合もある、ということです。定期的にパスワードを変更していれば、公表されていないデータ漏洩が実行されるリスクを軽減します。
- コンピュータを処分するときは、古いハードドライブを適切にワイプしましょう。ファイルを削除するだけでなく、データ破壊プログラムを使用してドライブを完全にワイプし、ディスク上のすべてのデータを上書きしましょう。オペレーティングシステムの新規インストールを行うと、ドライブが正常にワイプされます。
- ファイルをバックアップしましょう。データ漏洩によっては、ファイルを暗号化され、再度使用できるようにするためにユーザーは身代金を要求されます。リムーバブルドライブに別のバックアップを取っておけば、データ漏洩が起きた場合でも、データは無事に残ります。
- スマートフォンの安全を確保しましょう。画面ロックを使用し、スマートフォンのソフトウェアを定期的に更新しましょう。スマートフォンをroot化したりジェイルブレイクしたりしないでください。スマートフォンをroot化すると、ハッカーのソフトウェアをインストールしてスマートフォンの設定を変更するチャンスをハッカーに与えてしまいます。
- ウィルス対策ソフトウェアとマルウェア対策ソフトウェアを使用して、コンピュータその他のデバイスの安全を確保しましょう。Kaspersky Antivirusは、コンピュータから感染のリスクをなくし、ハッカーがシステムに足掛かりを得ることができないようにするのにお勧めです。
- クリックは慎重に行いましょう。Webサイトへのリンクが記載された未承認メールはフィッシングを狙っているのかもしれません。知り合いの名を語る場合もあります。添付書類やリンクを含んでいたら、開ける前にそれに対してウィルス対策ソフトを使い、本物であることを確認してください。
- アカウントにアクセスするときは、ただのHTTPではなく、安全なHTTPSプロトコルを使用していることを確認しましょう。
- 銀行取引明細書と信用報告書を定期的に調べると、自分の身を守る助けになります。盗まれた情報が、最初にデータ漏洩が発生した何年も後にダークウェブに現れることがあります。これは、アカウントが侵害されたてデータが漏洩したことを忘れてからずいぶん経った頃に、なりすまし犯罪が起きたことを意味しているのかもしれません。
- 自分の個人情報の価値を理解しましょう。そして必要な場合以外は誰にも教えないようにしてください。個人情報を知りたがるWebサイトがあまりにも多すぎます。たとえば、なぜビジネスジャーナルに正確な生年月日が必要なのでしょう。 あるいは、なぜオークションサイトにSSNが必要なのでしょう。
家のドアを1日中開けておいて誰でも入れるようにしようなどとは、まさか思わないでしょう。コンピュータについても同じように考えましょう。ネットワークアクセスや個人情報を厳重に保護して、ハッカーが侵入できるように窓やドアを開けたままになどしないようにしましょう。
関連リンク