データ漏えいとは?

データ漏えいには、機密情報の公開が伴います。多くのタイプのオンライン攻撃には、ログイン時の認証情報や個人の財務データのような情報を公開するためにデータ漏えいを引き起こすという主要目的があります。

Share facebook icon linkedin icon twitter icon email icon

データ漏えい

学習目的

この記事を読み終えると、以下のことができます。

  • データ漏えいを定義する
  • データ漏えいの例をいくつか説明する
  • データ漏えいを軽減する戦略を探る

データ漏えいとは?

データ漏えいとは、秘密情報、親展情報、そのほかの機密情報を保護されていない環境に公開することです。データ漏えいは、偶発的に発生することもあれば、意図的な攻撃の結果として発生することもあります。

毎年、何百万人もの人がデータ漏えいの影響を受けます。医師が違う患者情報を誤って見てしまうことから、エリートエージェントのチームが軍事機密を盗み出すために政府のコンピューターに侵入することまで、データ漏えいは多岐にわたります。

データ漏えい

機密データが常にインターネット経由で送信されるため、データ漏えいはサイバーセキュリティにとって大きな懸念事項です。このように機密情報が継続的に送信されることにより、全世界の攻撃者は、ほぼすべての個人や企業に対してデータ漏えいを試みることが可能になります。

データ漏えいのいくつかの一般的な例

  • 認証情報の紛失または盗難 - 個人情報をオンラインで見る最も簡単な方法は、他人のログイン情報を使用してサービスにログインすることです。そのために、攻撃者は多くの戦略を用いてIDやパスワードなどの認証情報を不正入手しようとします。これには総当たり攻撃中間者攻撃が含まれます。
  • ソーシャルエンジニアリング攻撃 - ソーシャルエンジニアリングには、人をだまして機密情報を提供させるようにするマインドコントロール(心理操作)の使用が伴います。たとえば、攻撃者はIRS担当者になりすまして、電話で銀行口座情報を聞き出そうとします。
  • 内部犯行 - これには、保護されている情報にアクセスできる人が、個人的な利益を得るために、データを意図的に公開することが含まれます。例としては、顧客のクレジットカード番号を盗むレストランの店員や機密情報を外国政府に売る政府高官が挙げられます。
  • 大企業への攻撃 - 大きな対価が得られるため、大手企業は、こうしたデータ漏えいを試みる攻撃者の格好の標的になります。こうした対価には、ログイン情報やクレジットカード番号といった、数百万のユーザーの個人情報および/または財務情報が含まれます。これらのデータはすべて闇市場で転売することができます。
  • 物理POSデバイスへの攻撃 - こうした攻撃はクレジットカードやデビットカードの情報を標的とし、こうしたカードをスキャンして読み取るデバイスが関係することが多いです。たとえば、カード番号や暗証番号を不正入手するために、模造のATM端末を設置する、あるいは正当なATMにスキャナーを取り付けるといったことを行います。
  • 認証情報の不正使用 - あるユーザーのログイン情報が暴露されると、攻撃者はその同じ認証情報をほかのプラットフォームで何度も再利用することを試みます。そのユーザーが複数のサービスに同じユーザー名とパスワードでログインしている場合、攻撃者は、そのユーザーの電子メール、ソーシャルメディア、および/またはインターネットバンキング口座にアクセスできてしまいます。

実世界のデータ漏えいはどのようなものか

近年最も悪名高いデータ漏えいの1つは、2013年にTargetに対して仕掛けられたサイバー攻撃です。この攻撃については、成功させるために使用された戦略の組み合わせが実に巧妙であったため、今でも広く議論されています。ソーシャルエンジニアリング攻撃、サードパーティベンダーのハイジャック、物理POSデバイスへの大規模な攻撃などが関係していました。

この攻撃の発端になったのは、店舗に空調設備を設置するために、Targetが契約を結んだ空調設備会社の従業員を標的としたフィッシング詐欺でした。これらの空調設備は、エネルギー消費量を監視するためにTargetのネットワーク上のコンピュータと連動していて、攻撃者は空調設備会社のソフトウェアに侵入してTargetシステムに不正アクセスしました。最終的に、攻撃者は消費者のクレジットカードデータを入手するためにTarget店舗内のクレジットカードスキャナーをプログラムしなおすことができました。これらのスキャナーはインターネットに接続されていませんでしたが、攻撃者が監視していたアクセスポイントに保存したクレジットカードデータを定期的にダンプするようにプログラムされていました。この攻撃は圧倒的な成功を収め、推定1億1000万人のTargetの顧客がデータ漏えいの被害に遭いました。

データ漏えいを防止する方法

データ漏えいはさまざまな形態をとるため、データ漏えいを防止する単一のソリューションはなく、包括的なアプローチが必要となります。多くのタイプのデータ漏えいは、データセキュリティに対して常識的なアプローチを取ることで回避できます。信頼できないベンダーではクレジットカードを使用しない、オンラインサービスごとに一意の長いパスワードを使用する、といったことを行うだけで最も単純で一般的なデータ漏えい攻撃は阻止することができます。セキュリティパッチを適用してソフトウェアを最新の状態に保ち、ウィルス対策ソフトウェアやマルウェアブロッカーを使用することも、データ漏えいを軽減するのに役立ちます。

経営者は、仕事をするのに最小限必要なアクセス権限のみを従業員に付与することで、データ漏えいを抑制することができます。情報漏えいを最小限に抑えることを目標として、企業がデータ漏えい発生時に実行する対応計画を立てることも推奨します。

企業は顧客のデータを保護するために、SSL/TLSを使用して自社Webサイトを暗号化する必要もあります。また、WAFはデータ漏えいを引き起こすことを目的とするいくつかのタイプのアプリケーション攻撃から企業を保護します。実は、正しく設定されたWAFを使用していれば、2017年のEquifaxに対する大規模なデータ漏えい攻撃は防止できたと考えられています。