データ漏えい

データ漏えいは、コンピュータの所有者の許可なくもしくは気付かれない間にコンピュータから情報を窃取する不正活動です。データ漏えいの被害を受けるのは、多くの場合大企業や組織で、窃取されるデータは通常、慎重に扱われるデータか、個人情報もしくは機密情報(クレジットカード番号、顧客データ、取引機密や国家安全関連情報など)であることがあります。企業がデータ漏えいの損害を受けると、顧客からは「信頼の裏切り」と理解されるため、自社の顧客の信頼を失うことを示しています。搾取される情報の一部が金融関連の記録である場合、顧客が金銭的損失を受けると同時に、企業の財政へも被害が波及する可能性があります。

 

データ漏えいの背景

データ漏えいは、標的型攻撃などサイバー犯罪活動、またはまったくの事故/ヒューマンエラー(業務用ラップトップ/スマートフォンの置き忘れ)により発生する可能性があります。

 

データ漏えいは一般的に以下の段階を経て行われます。

 

  1. 調査:標的を探しているサイバー犯罪者は、標的とする組織の社員、システムやネットワークから悪用できそうな欠陥を探す。サイバー犯罪者はこの調査に長時間を費やし、社員のソーシャルネットワーク上のプロフィールを追跡して、該当企業がどのようなインフラを備えているか確認する。
  2. 攻撃:標的の欠陥を詳細に確認し、サイバー犯罪者はネットワークベースの攻撃やソーシャルエンジニアリング攻撃により最初の接触をする。
    1. ネットワークベースの攻撃では、サイバー犯罪者は標的のインフラ内の欠陥を利用し、ネットワーク内に侵入する。このような欠陥を悪用した攻撃にはSQLインジェクション、脆弱性利用やセッションハイジャッキングを含むことがある。
    2. ソーシャルエンジニアリングを用いる攻撃では、サイバー犯罪者はソーシャルエンジニアリングを利用して、標的のネットワークへ侵入する。特定の社員の注意を引くために、社員のうちの1人に向けて特別に作成される不正なEメールに関連する。このメールは受信者が送信者に個人情報を誤って提供してしまうフィッシングメールまたは、アクセスされると実行されるよう設定された不正プログラム付きのメールである可能性がある。

 いずれの攻撃でも、成功した場合はサイバー犯罪者は以下のような不正活動が可能になります。

  1. データ送出:サイバー犯罪者はネットワーク内に侵入すると、企業のインフラから必要なデータを自由に抽出し、データを自身へ送出します。このデータは、脅迫や不正な宣伝活動に利用される可能性があります。また、これによりサイバー犯罪者が、インフラにより大きな被害をおよぼす攻撃に足りうる情報を得ることもあります。

 データ漏えいのその他の原因

 

  • 不満を抱える従業員:企業から進んで情報を搾取し、その企業の社員たちに危害を与えようとする社員。
  • デバイス端末の紛失または盗難社員が自宅に持ち帰った社用のデバイス端末が紛失または盗難にあった場合。
  • 不正プログラムに感染した個人端末またはネットワークデバイス:情報窃取型不正プログラムに感染した可能性のある社用デバイス端末。
  • 無意識による情報共有:社員が、組織の重要情報、詳細情報やファイルを、ファイルの誤操作や雑談を通して知人に図らずも共有してしまった場合。

実際のデータ漏えいの事例:

  • Adobe2013年10月、Adobeがサイバー犯罪者がAdobeのネットワーク内へ侵入し、不確定数の自社ソフトウェア製品のソースコードを窃取したと公表。また、サイバー犯罪者が290万件の顧客データベースからログインデータとともに顧客のクレジットカードのレコードへもアクセスしていたことも公表。
  • 韓国:2013年4月、1億4千万の韓国人のIDが搾取されおそらく北朝鮮政府に漏えいしたであろうと報告される。これらの情報は、デパート、ガソリンスタンドやオンラインショッピングモールのWebサイトをハッキングし逮捕されたサイバー犯罪者により搾取されたとされている。

データ漏えいに対する対策

 

企業の対策:

  • コンピュータやネットワークには迅速に更新プログラムを適用する:IT管理者は、ネットワーク内のすべてのコンピュータに更新プログラムを適用するよう特段の注意を払うこと。たった1台更新されていないだけで大惨事に繋がる可能性がある。更新プログラムを適用することで、未更新/古いソフトウェアに存在する脆弱性をサイバー犯罪者が悪用するのを防げる。
  • 社員教育と実施:社員に脅威に関する情報を提供し、ソーシャルエンジニアリングの手法に注意するよう喚起する。脅威に遭遇した場合に、どのようにその状況に対処するかのガイドラインを紹介して実施させる。
  • セキュリティ対策を実行するネットワーク内の脆弱性を特定するプロセスを作成して脅威へ対処する。定期的にセキュリティの監査を実行、その際、企業のネットワークへアクセスするコンピュータすべて漏れなく対応するようにする。
  • 実被害に備える:効果的な被害復旧計画を作成する。データ漏えいの事例では、連絡窓口、方針の公表、発生時の軽減対策手順などを整備しておくことにより混乱を最小限にする。データ漏えいが発覚した際、社員が適切な行動を取れるよう対策計画を社員に周知しておく。

一般ユーザ/企業の社員の対策:

  • 実被害に備える:効果的な被害復旧計画を作成する。データ漏えいの事例では、連絡窓口、方針の公表、実際の軽減対策手順などを整備しておくことにより混乱を最小限にする。データ漏えいが発覚した際、社員が適切な行動を取れるよう対策計画を社員に周知しておく。
  • オンライン銀行の取引履歴を常に確認する:サイバー犯罪者による改ざんの最初のサインは、アカウントへユーザ自身が行った取引とは異なる不審な請求が確認されることである。
  • すべての情報を信用しないソーシャルエンジニアリングを悪用した攻撃は騙されやすいユーザを標的とする。疑い深くかつ用心すること。
  • シェアする内容に注意を払うソーシャルメディアに夢中にならないこと。プロフィールには自身に関する詳細はできるかぎり記載しないこと。
  • すべてのデバイスを保護する:ラップトップ、モバイル端末やデスクトップコンピュータなどをセキュリティ関連ソフトウェアにより保護し、常に最新の状態を保つ。
  • アカウントを保護する:所有している各アカウントに対し、異なるEメールアドレスおよびパスワードを用いる。「パスワードマネージャー™」を使用すればアカウント管理を自動化できる。
  • 知らない送信者からのEメールは開封しない:疑わしい場合、開封せずにメールを削除する。いずれの添付ファイルも開封前に確認する。