データ漏えいには、機密情報の公開が伴います。多くのタイプのオンライン攻撃には、ログイン時の認証情報や個人の財務データのような情報を公開するためにデータ漏えいを引き起こすという主要目的があります。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
データ漏えいとは、秘密情報、親展情報、そのほかの機密情報を保護されていない環境に公開することです。データ漏えいは、偶発的に発生することもあれば、意図的な攻撃の結果として発生することもあります。
毎年、何百万人もの人々がデータ漏えいの影響を受けており、その範囲は、医師が誤って別の患者のカルテを見てしまうことから、政府のコンピュータにアクセスして機密情報を暴こうとする大規模なものまで、多岐にわたります。
機密データが常にインターネット経由で送信されるため、データ漏えいはセキュリティにとって大きな懸念事項です。このように機密情報が継続的に送信されることにより、全世界の攻撃者は、ほぼすべての個人や企業に対してデータ漏えいを試みることが可能になります。
また、世界中の企業でデータはデジタルデータとして保存されています。データが保存されているサーバーは、さまざまな形でサイバー攻撃を受ける可能性があります。
大きな対価が得られるため、大手企業は、こうしたデータ漏えいを試みる攻撃者の格好の標的になります。こうした対価には、ログイン情報やクレジットカード番号といった、数百万のユーザーの個人情報および/または財務情報が含まれます。これらのデータはすべて闇市場で転売することができます。
攻撃者はデータを引き出せるのであれば標的を選びません。すべての個人情報や機密データは、サイバー犯罪者にとって価値のあるものです。通常、世の中の誰かがお金を出して買ってくれます。
2017年に発生したEquifaxのデータ漏えいは、大規模なデータ漏洩の主な一例です。Equifaxはアメリカの信用調査機関です。2017年の5月から6月にかけて、悪意のある集団がEquifaxのサーバー内の個人記録にアクセスし、約1億5000万人のアメリカ人、約1500万人のイギリス人、約1万9000人のカナダ人の個人情報を入手しました。この攻撃は、Equifaxが自社システムで使用しているソフトウェアの脆弱性に対してパッチ適用を怠ったたことが起因となりました。
小規模なデータ漏えいも大きな影響を及ぼす場合があります。2020年、攻撃者によって多数の著名人や影響力のある人物のTwitterアカウントが乗っ取られる事件が発生しました。この攻撃は、最初のソーシャルエンジニアリング攻撃によって、攻撃者がTwitterの内部管理ツールにアクセスすることができたために可能となりました。この最初の侵入を皮切りに、攻撃者は複数の人物のアカウントを乗っ取り、約117,000ドルのビットコインを騙し取ることに成功しました。
ここ数十年で最も悪名高いデータ漏えいのひとつが、2013年に大手小売店のTargetに対して仕掛けられたサイバー攻撃です。この攻撃を成功させるために用いられた戦略の組み合わせは、実に巧妙なものでした。この攻撃には、ソーシャルエンジニアリング攻撃、サードパーティベンダーの乗っ取り、物理POSデバイスへの大規模な攻撃が含まれていました。
この攻撃の発端になったのは、Targetの店舗に空調設備を設置した空調設備会社の従業員を標的としたフィッシング詐欺でした。これらの空調設備は、エネルギー消費量を監視するためにTargetのネットワーク上のコンピュータと連動していて、攻撃者は空調設備会社のソフトウェアに侵入してTargetシステムを侵害しました。最終的に、攻撃者は消費者のクレジットカードデータを入手するためにTarget店舗内のクレジットカードスキャナーをプログラムしなおすことができました。これらのスキャナーはインターネットに接続されていませんでしたが、攻撃者が監視していたアクセスポイントに保存したクレジットカードデータを定期的にダンプするようにプログラムされていました。この攻撃は成功を収め、推定1億1000万人のTargetの顧客がデータ漏えいの被害に遭いました。
データ漏えいはさまざまな形態をとるため、データ漏えいを防止する単一のソリューションはなく、包括的なアプローチが必要となります。企業が講じることのできる主な対策には、以下のようなものがあります:
アクセス制御:経営者は、業務を遂行する上で最小限必要なアクセス権限のみを従業員に付与することで、データ漏えいを抑制することができます。
暗号化:企業は自分達のWebサイトや受信するデータをSSL/TLS暗号化で暗号化する必要があります。また、サーバーや従業員の端末に保存するデータも暗号化する必要があります。
Webセキュリティソリューション:Webアプリケーションファイアウォール(WAF)は、データ漏えいを引き起こすことを目的とするいくつかのタイプのアプリケーション攻撃や脆弱性の悪用から企業を保護します。実は、正しく設定されたWAFを使用していれば、2017年のEquifaxに対する大規模なデータ漏えい攻撃は防止できたと考えられています。
ネットワークセキュリティ:企業はWebプロパティに加え、内部ネットワークを侵害から保護しなければなりません。ファイアウォール、DDoS攻撃対策、セキュアWebゲートウェイ、データ漏洩防止(DLP)などのネットワークセキュリティソリューションは、すべてネットワークの安全性を維持するのに役立ちます。
ソフトウェアとハードウェアを常に最新に保つ:古いバージョンのソフトウェアには危険があります。ソフトウェアには、ほとんどの場合脆弱性が含まれており、これを巧みに悪用することで、攻撃者は機密データにアクセスすることができるようになります。ソフトウェアベンダーは、脆弱性を修正するためにセキュリティパッチや全く新しいバージョンのソフトウェアを定期的にリリースしています。これらのパッチやアップデートがインストールされていない場合、Equifaxの侵害で行われたように攻撃者はこれらのシステムを侵害することができます。ある段階を超えると、ベンダーはソフトウェア製品のサポートを終了し、そのソフトウェアは新たな脆弱性が発見された場合、完全に無防備な状態に置かれます。
備える:企業は情報漏えいを最小限に抑えることを目標としたデータ漏えい発生時に実行する対応計画を準備しておく必要があります。例えば、企業は重要なデータベースのバックアップコピーを保管しておく必要があります。
教育:ソーシャルエンジニアリングは、データ漏えいの最も一般的な原因の一つです。ソーシャルエンジニアリング攻撃を認識し、対応できるように従業員を教育します。
ここでは、データを保護するためのいくつかのヒントを紹介します。ただし、これらの行動自体がデータの安全性を保証するものではありません。
サービスごとに固有のパスワードを使用する:多くのユーザーは、複数のオンラインサービスの間でパスワードを使い回しています。その結果、これらのサービスの1つでデータ漏えいが発生すると、攻撃者はその認証情報を使って、ユーザーの他のアカウントも侵害できてしまいます。
二要素認証を採用する:二要素認証(2FA)とは、ログインを許可する前に、複数の検証方法を用いてユーザーの身元を確認する仕組みのことです。2FAの最も一般的な形式の1つは、ユーザーがパスワードに加えて、携帯電話にテキストで送信された固有のワンタイムコードを入力することです。2FAを採用しているユーザーは、パスワードだけでは攻撃者にアカウントを盗まれないため、データ漏えいによってログイン情報がさらされた場合でも、被害を受ける可能性は低くなります。
HTTPS以外のWebサイトでは個人情報を送信しない:SSL暗号化を使用していないウェブサイトのURLは、「https://」ではなく「http://」になっています。暗号化されていないWebサイトでは、ユーザー名やパスワードから検索クエリやクレジットカード番号に至るまで、そのウェブサイトで入力されたすべてのデータはさらされた状態になります。
ソフトウェアとハードウェアを最新の状態に保つ:この提唱は、ユーザーだけでなく、企業にも適用されます。
ハードドライブを暗号化する:暗号化することで、ユーザーの端末が盗まれた場合でも攻撃者にその端末にローカルに保存されているファイルを見られてしまうことから保護してくれます。しかし、マルウェアの感染やその他の手口でデバイスにリモートアクセスした攻撃者からの阻止に対しては有効ではありません。
信頼できる情報元以外からのアプリケーションをインストールしたり、ファイルを開いたりしない:ユーザーが誤ってマルウェアをダウンロードしたりインストールしたりする事態は日々発生しています。あなたが開いたり、ダウンロードしたり、インストールしたりするファイルやアプリケーションは、本当に正規のソースからのものであるかどうかを確認しましょう。攻撃者は、一見無害に見える電子メールに添付されたファイルにマルウェアを仕込んでいることがよくあります。