データ漏えいとは?

データ漏えいには、機密情報の公開が伴います。多くのタイプのオンライン攻撃には、ログイン時の認証情報や個人の財務データのような情報を公開するためにデータ漏えいを引き起こすという主要目的があります。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • データ漏えいを定義する
  • データ漏えいの例をいくつか説明する
  • データ漏えいを軽減する戦略を探る

記事のリンクをコピーする

データ漏えいとは?

データ漏えいとは、秘密情報、親展情報、そのほかの機密情報を保護されていない環境に公開することです。データ漏えいは、偶発的に発生することもあれば、意図的な攻撃の結果として発生することもあります。

毎年、何百万人もの人々がデータ漏えいの影響を受けており、その範囲は、医師が誤って別の患者のカルテを見てしまうことから、政府のコンピュータにアクセスして機密情報を暴こうとする大規模なものまで、多岐にわたります。

機密データが常にインターネット経由で送信されるため、データ漏えいはセキュリティにとって大きな懸念事項です。このように機密情報が継続的に送信されることにより、全世界の攻撃者は、ほぼすべての個人や企業に対してデータ漏えいを試みることが可能になります。

また、世界中の企業でデータはデジタルデータとして保存されています。データが保存されているサーバーは、さまざまな形でサイバー攻撃を受ける可能性があります。

通常、データ漏えいの標的となるのは誰か?

大きな対価が得られるため、大手企業は、こうしたデータ漏えいを試みる攻撃者の格好の標的になります。こうした対価には、ログイン情報やクレジットカード番号といった、数百万のユーザーの個人情報および/または財務情報が含まれます。これらのデータはすべて闇市場で転売することができます。

攻撃者はデータを引き出せるのであれば標的を選びません。すべての個人情報や機密データは、サイバー犯罪者にとって価値のあるものです。通常、世の中の誰かがお金を出して買ってくれます。

データ漏えいが発生する主な原因は?

  • 認証情報の紛失または盗難 - 個人情報をオンラインで見る最も簡単な方法は、他人のログイン情報を使用してサービスにログインすることです。そのために、攻撃者は多くの戦略を用いてIDやパスワードなどの認証情報を不正入手しようとします。これには総当たり攻撃オンパス攻撃が含まれます。
  • 機器の紛失・盗難 - 機密情報を含むパソコンやスマートフォンを紛失して他の人の手に渡った場合、非常に危険です。
  • ソーシャルエンジニアリング攻撃 - ソーシャルエンジニアリングには、人をだまして機密情報を提供させるようにするマインドコントロール(心理操作)の使用が伴います。たとえば、攻撃者はIRS担当者になりすまして、電話で銀行口座情報を聞き出そうとします。
  • 内部犯行 - これには、保護されている情報にアクセスできる人が、個人的な利益を得るために、データを意図的に公開することが含まれます。例としては、顧客のクレジットカード番号を盗むレストランの店員や機密情報を外国政府に売る政府高官が挙げられます。(内部犯行の詳細をご覧ください。)
  • 脆弱性の悪用 - 世界中のほぼすべての企業がさまざまな種類のソフトウェア製品を使用しています。ソフトウェアはその複雑さから多くの場合「脆弱性」と呼ばれる欠陥を含んでいます。攻撃者は、これらの脆弱性を悪用して不正なアクセスを行い、機密データを閲覧またはコピーすることが可能です。
  • マルウェア感染 - 悪意のあるソフトウェアプログラムの多くは、データを盗んだり、ユーザーの活動を追跡するように設計されており、収集した情報は攻撃者が管理するサーバーに送信されます。
  • 物理POSデバイスへの攻撃 - こうした攻撃はクレジットカードやデビットカードの情報を標的とし、こうしたカードをスキャンして読み取るデバイスが関係することが多いです。たとえば、カード番号やPINを不正入手するために、模造のATM端末を設置する、あるいは正当なATMにスキャナーを取り付けるといったことを行います。
  • クレデンシャルスタッフィング - あるユーザーのログイン情報がデータ侵害されて暴露されると、攻撃者はその同じ認証情報をほかのプラットフォームで何度も再利用することを試みます。そのユーザーが複数のサービスに同じユーザー名とパスワードでログインしている場合、攻撃者は、そのユーザーの電子メール、ソーシャルメディア、および/またはインターネットバンキング口座にアクセスできてしまいます。
  • 暗号化の不足 - 個人または財務データが集まるWebサイトがSSL/TLS暗号化を使用していない場合、誰でもユーザーとウェブサイト間の送信内容を監視して、そのデータを平文で見ることができてしまいます。
  • Webアプリやサーバーの設定ミス - Webサイト、アプリケーション、Webサーバーのいずれかが適切に設定されていない場合、インターネットに接続している全員に対してデータを丸見えの状態にしてしまう可能性があります。それを偶然見つけたユーザーや、意図的に探している攻撃者によって機密データが見られてしまう可能性があります。

実世界のデータ漏えいはどのようなものか

2017年に発生したEquifaxのデータ漏えいは、大規模なデータ漏洩の主な一例です。Equifaxはアメリカの信用調査機関です。2017年の5月から6月にかけて、悪意のある集団がEquifaxのサーバー内の個人記録にアクセスし、約1億5000万人のアメリカ人、約1500万人のイギリス人、約1万9000人のカナダ人の個人情報を入手しました。この攻撃は、Equifaxが自社システムで使用しているソフトウェアの脆弱性に対してパッチ適用を怠ったたことが起因となりました。

小規模なデータ漏えいも大きな影響を及ぼす場合があります。2020年、攻撃者によって多数の著名人や影響力のある人物のTwitterアカウントが乗っ取られる事件が発生しました。この攻撃は、最初のソーシャルエンジニアリング攻撃によって、攻撃者がTwitterの内部管理ツールにアクセスすることができたために可能となりました。この最初の侵入を皮切りに、攻撃者は複数の人物のアカウントを乗っ取り、約117,000ドルのビットコインを騙し取ることに成功しました。

ここ数十年で最も悪名高いデータ漏えいのひとつが、2013年に大手小売店のTargetに対して仕掛けられたサイバー攻撃です。この攻撃を成功させるために用いられた戦略の組み合わせは、実に巧妙なものでした。この攻撃には、ソーシャルエンジニアリング攻撃、サードパーティベンダーの乗っ取り、物理POSデバイスへの大規模な攻撃が含まれていました。

この攻撃の発端になったのは、Targetの店舗に空調設備を設置した空調設備会社の従業員を標的としたフィッシング詐欺でした。これらの空調設備は、エネルギー消費量を監視するためにTargetのネットワーク上のコンピュータと連動していて、攻撃者は空調設備会社のソフトウェアに侵入してTargetシステムを侵害しました。最終的に、攻撃者は消費者のクレジットカードデータを入手するためにTarget店舗内のクレジットカードスキャナーをプログラムしなおすことができました。これらのスキャナーはインターネットに接続されていませんでしたが、攻撃者が監視していたアクセスポイントに保存したクレジットカードデータを定期的にダンプするようにプログラムされていました。この攻撃は成功を収め、推定1億1000万人のTargetの顧客がデータ漏えいの被害に遭いました。

企業がデータ漏えいを防ぐ方法は?

データ漏えいはさまざまな形態をとるため、データ漏えいを防止する単一のソリューションはなく、包括的なアプローチが必要となります。企業が講じることのできる主な対策には、以下のようなものがあります:

アクセス制御経営者は、業務を遂行する上で最小限必要なアクセス権限のみを従業員に付与することで、データ漏えいを抑制することができます。

暗号化企業は自分達のWebサイトや受信するデータをSSL/TLS暗号化で暗号化する必要があります。また、サーバーや従業員の端末に保存するデータも暗号化する必要があります。

Webセキュリティソリューション:Webアプリケーションファイアウォール(WAF)は、データ漏えいを引き起こすことを目的とするいくつかのタイプのアプリケーション攻撃や脆弱性の悪用から企業を保護します。実は、正しく設定されたWAFを使用していれば、2017年のEquifaxに対する大規模なデータ漏えい攻撃は防止できたと考えられています。

ネットワークセキュリティ:Webプロパティに加えて、企業は内部ネットワークを危険から守る必要があります。ファイアウォールDDoS攻撃対策セキュアウェブゲートウェイデータ損失防止(DLP)はすべてネットワークの安全を保つのに有効です。

ソフトウェアとハードウェアを常に最新に保つ:古いバージョンのソフトウェアには危険があります。ソフトウェアには、ほとんどの場合脆弱性が含まれており、これを巧みに悪用することで、攻撃者は機密データにアクセスすることができるようになります。ソフトウェアベンダーは、脆弱性を修正するためにセキュリティパッチや全く新しいバージョンのソフトウェアを定期的にリリースしています。これらのパッチやアップデートがインストールされていない場合、Equifaxの侵害で行われたように攻撃者はこれらのシステムを侵害することができます。ある段階を超えると、ベンダーはソフトウェア製品のサポートを終了し、そのソフトウェアは新たな脆弱性が発見された場合、完全に無防備な状態に置かれます。

備える:企業は情報漏えいを最小限に抑えることを目標としたデータ漏えい発生時に実行する対応計画を準備しておく必要があります。例えば、企業は重要なデータベースのバックアップコピーを保管しておく必要があります。

教育:ソーシャルエンジニアリングは、データ漏えいの最も一般的な原因の一つです。ソーシャルエンジニアリング攻撃を認識し、対応できるように従業員を教育します。

ユーザーがデータ漏えいから身を守る方法は?

ここでは、データを保護するためのいくつかのヒントを紹介します。ただし、これらの行動自体がデータの安全性を保証するものではありません。

サービスごとに固有のパスワードを使用する:多くのユーザーは、複数のオンラインサービスの間でパスワードを使い回しています。その結果、これらのサービスの1つでデータ漏えいが発生すると、攻撃者はその認証情報を使って、ユーザーの他のアカウントも侵害できてしまいます。

二要素認証を採用する:二要素認証(2FA)とは、ログインを許可する前に、複数の検証方法を用いてユーザーの身元を確認する仕組みのことです。2FAの最も一般的な形式の1つは、ユーザーがパスワードに加えて、携帯電話にテキストで送信された固有のワンタイムコードを入力することです。2FAを採用しているユーザーは、パスワードだけでは攻撃者にアカウントを盗まれないため、データ漏えいによってログイン情報がさらされた場合でも、被害を受ける可能性は低くなります。

HTTPS以外のWebサイトでは個人情報を送信しな���:SSL暗号化を使用していないウェブサイトのURLは、「https://」ではなく「http://」になっています。暗号化されていないWebサイトでは、ユーザー名やパスワードから検索クエリやクレジットカード番号に至るまで、そのウェブサイトで入力されたすべてのデータはさらされた状態になります。

ソフトウェアとハードウェアを最新の状態に保つ:この提唱は、ユーザーだけでなく、企業にも適用されます。

ハードドライブを暗号化する:暗号化することで、ユーザーの端末が盗まれた場合でも攻撃者にその端末にローカルに保存されているファイルを見られてしまうことから保護してくれます。しかし、マルウェアの感染やその他の手口でデバイスにリモートアクセスした攻撃者からの阻止に対しては有効ではありません。

信頼できる情報元以外からのアプリケーションをインストールしたり、ファイルを開いたりしない:ユーザーが誤ってマルウェアをダウンロードしたりインストールしたりする事態は日々発生しています。あなたが開いたり、ダウンロードしたり、インストールしたりするファイルやアプリケーションは、本当に正規のソースからのものであるかどうかを確認しましょう。攻撃者は、一見無害に見える電子メールに添付されたファイルにマルウェアを仕込んでいることがよくあります。