データ漏えいとは？ その対処法は？

情報漏えいは、偶発的な場合も意図的な場合もあります。時には、サイバー犯罪者が、組織または個々の社員に関する重要な情報が保存された組織のデータベースに不正アクセスすることがあります。また、組織の社員が偶然、インターネット上で重要な情報を見つける可能性もあります。どのような経緯で情報漏えいが発生しても、犯罪者は情報を入手し、組織に損害を与えるために利用する恐れがあります。

病院、小売店、政府機関、企業などがデータ漏えいの典型的な対象です。誰にでも被害が及ぶ可能性があります。しかし、どのようにして発生し、どのように対処すればよいのでしょうか？

本記事では、データ漏えいの重要性、発生の仕組み、および漏えいによる被害から自社と貴社を守るための最善の対策について紹介します。

データ漏えいとは？

データ漏えいとは、コンピュータシステムへのサイバー攻撃により、攻撃者が重要な個人情報や機密情報、または暗号化された情報にアクセスできる状態になることです。漏えいした情報は、所有者の同意なしにアクセスされ、閲覧、共有される可能性があります。

どのコンピュータシステムも情報漏えいのリスクに晒されるため、セキュリティ強化が求められます。データ漏えいは、直接的または間接的に多くの人々に危険を及ぼす可能性があります。

‍

データ漏えいの原因は？

通常、ほとんどのデータ漏えいは主に以下の理由で発生します：

• 旧式な技術の使用
• 利用者の不適切な行動または不注意

パソコンやスマートフォンが進化するにつれ、より多くの接続機能が搭載されています。これらの機能は、情報が漏れる可能性を高めます。最新技術や製品は急速に登場しており、新モデルのセキュリティ確保を巡る競争が続いています。

IoT機器の普及は、人々がセキュリティよりも利便性を重視する傾向を如実に示しています。つまり、複雑なセキュリティ設定より、使いやすい機器を選ぶ可能性が高いです。多くのスマートホーム機器には低レベルの暗号化などの欠陥があり、攻撃者はこれらの弱点を巧みに利用しています。この問題は、メーカーが十分なセキュリティ検証を行わなければ続くでしょう。

セキュリティ機能がしっかりした製品については、一部の利用者でも警戒心が高まります。たった一人の不注意が、組織全体やウェブサイト全体への不信感につながることがあるからです。

利用者やメーカーが適切なセキュリティ対策を講じない場合、サイバー攻撃や情報漏えいに遭う恐れがあります。

データ漏えいの種類

データ漏えいは一般に外部の攻撃者による攻撃で発生すると考えられがちですが、必ずしもそれだけではありません。故意の攻撃以外にも、社員や関係者の不注意によって起こる場合があります。

データ漏えいの種類は以下の通りです：

偶発的な内部漏えい: このタイプは組織内で比較的一般的に発生します。例えば、社員が他の社員のPCを長時間使用した結果、本来アクセスできない書類や情報を見てしまうケースが該当します。本来、これらの情報は共有されるものではありませんでしたが、無許可の人物に見られたため、漏えいと判断されます。

悪意ある内部漏えい: このタイプは、内部または外部からの行為によって発生します。組織の情報にアクセスし、悪意をもって損害を与える目的で実行されます。内部の関係者がアクセス権を利用して情報に触れる場合でも、その目的が常に悪質です。情報を利用して組織を搾取する意図があります。

紛失や盗難による漏えい: こちらも、利用者の不注意が原因となる一般的なケースです。例えば、暗号化されていないパソコンや、重要な情報が保存された外部ストレージが紛失、盗難に遭う場合があります。

報復目的のハッカー: 一部の攻撃者は、様々な手法を用いてウェブサイトやシステムへ不正アクセスし、情報を盗み出そうとします。このタイプの漏えいにおけるリスクは、攻撃者の技量次第です。

情報ハッキングの手法

多くのデータ漏えいはサイバー攻撃によって引き起こされます。ここでは、攻撃者が不正アクセスを行う際によく使う代表的な手法を紹介します。

フィッシング: この手法はソーシャルエンジニアリングの一種で、利用者に自ら情報を提供させることを目的としています。攻撃者は、個人や企業になりすまし、信頼を得た上で誤った判断をさせ、機密情報へのアクセスを試みます。メールやフォームに情報を入力させる手口が一般的です。

総当たり攻撃: この手法はやや粗暴ですが効果的です。攻撃者は各種ツールを用いて、認証情報やパスワードを解析しようと試みます。

このような攻撃では、考えられるすべての組み合わせを試すことで正しいパスワードを割り出します。パソコンの性能向上により、攻撃速度は増しており、マルウェアなどのツールを併用することもあります。脆弱なパスワードを使用している場合、短期間でシステムに侵入される危険があります。

マルウェア: マルウェア攻撃は、システム内部から情報を侵害する手法です。利用中の機器やそのソフトウェア、関連する外部デバイス、組織自体、さらには社員にもセキュリティ上の欠陥が存在する場合があります。これらの脆弱性は、マルウェアが侵入するための隙間となります。スパイウェアは、密かに機密情報を盗む目的で設計されており、気づかぬうちにインストールされることもあります。攻撃を防ぐ最善の方法は、不審なサイトを避け、信頼できるソースからのみダウンロードすることです。

攻撃者は、組織のセキュリティに突破口を見出し、重要情報を入手するために一定のパターンに従うことが多いです。攻撃対象の弱点を見極めるため、事前に情報収集を行い、旧式な技術やフィッシングによる社員の欺瞞など、標的となるポイントを探ります。

攻撃者は、対象の弱点を把握した上で内部関係者から誤って認証情報を漏らさせたり、マルウェアを持ち込ませる作戦を練ります。場合によっては、直接システムに侵入することもあります。

一度攻撃者がシステムに侵入すると、組織は攻撃者の思い通りとなり、必要な情報が自由に閲覧・取得される恐れがあります。実際、通常の漏えいの場合、システム管理者が被害に気づくまでに5ヶ月以上かかることもあります。攻撃者が狙う主な弱点は、以下の通りです；

脆弱な認証情報: ほとんどのデータ漏えいは、弱い認証情報が原因です。脆弱な認証情報は推測や盗用されやすく、攻撃者がユーザー名やパスワードを入手すれば、システムを掌握する恐れがあります。

セキュリティ対策の破綻: 多くのマルウェア攻撃は、システム保護のために整えられた認証策を無効化することを狙っています。

外部からのアクセス: どれだけ組織のセキュリティを強化しても、関連する外部サービスを通じて攻撃者が侵入する可能性があります。

‍

データ漏えいに関する法律

データ漏えいは関係者に深刻な被害をもたらすため、重大な問題となっています。漏えいへの対抗策の基本は、情報の周知にあります。現行のデータ漏えい法では、いかなる漏えいが発生した場合でも組織が公表することを義務付けています。何らかの形で情報が侵害された場合、その事実を公表しなければなりません。これが、データ漏えいが度々報道される理由の一つです。

以前は、被害を受けた組織は漏えいを公表する義務がなく、黙っていることも可能でした。しかし、2000年代初頭から、人々がデータ漏えいとそのリスクについて知るほど、より責任ある対応が求められるようになりました。

ただし、データ漏えいの公表について統括する国内外の統一機関は存在せず、標準化も進んでいません。例えば、アメリカ全50州にデータ漏えい公表の法律があるものの、各州で規定が異なるため、全体としては混乱を招き、効果が限定的です。 

これら各種のデータ漏えい法に共通する内容は、以下の通りです：

• 被害者への賠償金の支払い
• 発生した被害や情報損失の公表
• 漏えいの重大性、使用された手法、可能であれば発生した財務的損失、及びリスク軽減対策の公表

データ漏えいが確認された場合、これらの措置を速やかに講じる必要があります。

カリフォルニア州はデータ漏えい法の整備において優れた成果を上げ、具体的な規定も設けています。例えば、漏えいが発生した場合、被害者は最大750ドルの賠償を請求でき、州の検事総長は1人の被害者につき最大7,500ドルの罰金を課すことが認められています。

‍

データ漏えいがもたらす被害

場合によっては、データ漏えいの影響は広範かつ深刻で、単にパスワードを変更するだけでは対処できないことがあります。漏えいによる被害は甚大で、長期間続く可能性があり、財務面や信用面にも悪影響を及ぼします。

企業向け: データ漏えいは、組織の評判を大きく損ね、顧客数の減少を引き起こす可能性があります。顧客減少は財務上の大きな問題につながります。Yahoo、Target、Equifaxなど、有名企業が漏えい被害を受け、その悪評が今なお語られています。

政府機関向け: 政府機関でデータ漏えいが発生すると、軍事計画や政治の内部情報など、国家にとって重要な情報が不正な団体に渡る恐れがあり、国や国民にとって重大な脅威となります。

個人向け: 個人がデータ漏えいの被害に遭うと、個人情報の盗用が深刻な問題となります。政府発行の社会保障番号やクレジットカード情報など、多くの情報が漏れる可能性があります。攻撃者がこれらの情報を入手すると、なりすましなどで悪用され、信用情報に大きな影響を与え、場合によっては法的なトラブルに発展することもあります。

これらはデータ漏えいの一般的な影響の一部にすぎず、被害の大きさはさらに深刻な場合もあります。情報が安全か、すでに漏れているかを判断し、被害に遭わないよう最善の対策を講じることが重要です。どんなセキュリティ対策にも欠点はありますが、対策を講じれば十分な防御が可能です。

‍

ベストプラクティス

データ漏えいは、企業およびその従業員に大きな影響をもたらします。漏えいのリスクを最小限に抑え、その被害を軽減するため、組織は以下のベストプラクティスを採用することが推奨されます。

企業向け:

• 定期的なセキュリティ評価や脆弱性テストの実施
• 包括的なデータセキュリティポリシーと手順の策定および実施
• 通信中および保管時の機密データの暗号化
• アクセス制御の導入と、従業員による機密情報へのアクセス制限
• 従業員へのデータセキュリティ教育および継続的な研修の実施

従業員向け:

• 強固でユニークなパスワードの使用および二要素認証の導入
• フィッシングメールや不審なリンクに注意する
• 機密情報のやり取りには公共Wi-Fiを避ける
• ソフトウェアやOSを最新のセキュリティパッチに更新する
• 不審な活動はIT部門または管理者に報告する

これらのベストプラクティスを実行することで、企業はデータ漏えいのリスクを大幅に低減し、被害の拡大を防止できます。また、従業員のセキュリティ意識の向上も重要で、常に注意深く行動することで漏えいを未然に防ぐことができます。

‍

実例

データ漏えいは小規模な組織だけでなく、Google、LinkedIn、Yahooなどの大手テック企業でも発生しています。信じがたいかもしれませんが、以下に世界で最も悪名高い事件例を紹介します。

• Yahooは2度のデータ漏えい被害に遭った

Yahooは2度にわたる漏えいにより、約30億件の全ユーザー情報が流出するという深刻な被害を受けました。2013年、熟練したハッカー集団が全ユーザーのデータを盗み出しました。 

この事件は企業に大きな打撃を与え、漏えいしたデータは約30億件と推定されましたが、専門家の中には実際の数値はさらに多かったとの見方もあります。漏えいの規模があまりにも大きく、Yahooが事実を認め分析するまでに3年を要しました。 

当初、同社は10億件のみの漏えいと発表しましたが、1年以内に全ユーザーのデータが影響を受けたことが明らかになりました。内部情報によれば、世界人口の約3分の1に相当するデータがこの攻撃の犠牲となったとのことです。

さらに、2015年に別の漏えいが発生し、約5億件のユーザーデータが危険に晒されました。4人のロシア人ハッカー（うち2名はロシア政府関係者）によるこの攻撃で、Yahooの個人情報約5億件が流出し、企業の評価は一夜にして低下し、多くの利用者が離れていきました。

• Marriott Internationalも5億件のデータ漏えいに見舞われた

2014年、国際的に評価の高いホテルチェーンである Marriott International がハッカー集団の攻撃を受けました。この事件は2018年に明るみに出て、5億人以上の Starwood-Marriott 顧客の名前、メールアドレス、生年月日、住所、連絡先などの個人情報が盗まれました。Starwood系列の予約者全員が影響を受け、なお、銀行情報は流出しませんでした。 

• Exactisは不注意の典型例

有名なマーケティング企業 Exactis は、サイバーセキュリティ研究者から不注意が指摘されました。調査中、Vinny Troja 氏は、同社が3億4000万件以上の顧客データを保護されていないサーバーに保存していることを確認しました。 

漏えいの記録はないものの、これほど大量のデータが無防備に置かれているのは疑わしいとの意見もあります。

サイバー攻撃者が必要としたのは、インターネット接続機器を自動検出する特殊な検索エンジン「Shoden」だけでした。幸いなことに、そのサーバーには個人情報が保存されていなかった点だけが救いでした。

• LinkedInのアカウントも安全ではない

LinkedInのアカウントを作成すれば安全という考えは誤りです。この世界的に有名なSNSも、優れたセキュリティ対策を講じているにもかかわらず、データ漏えい被害に遭っています。

2012年、1億1,700万以上のLinkedInユーザーのメールアドレスとパスワードがハッカーに盗まれました。LinkedInはパスワード保管にエンドツーエンド暗号化を採用していると主張していますが、使用されているSHA1暗号は効果が低く、十分な保護ができませんでした。盗まれた情報は、その後InMailフィッシング攻撃に利用されました。

• Myspaceもユーザーデータが漏えい

かつてのFacebookとも呼ばれたMyspaceは、パスワード利用を許していたためセキュリティが脆弱で、約3億6000万件のユーザーデータがハッカーによって盗まれました。 

以上の例から、データ漏えいは誰にでも起こり得ることが明らかです。いかに強固な暗号化やセキュリティ対策を講じても、一部の隙間があれば被害を防ぐことはできません。そのため、常に警戒を怠らず、情報の取り扱いや送信時には最善のセキュリティ対策を実施する必要があります。

‍

Wallarmリサーチ

Wallarmのリサーチチームは2008年から2022年の間に、数百件のAPI関連のデータ漏えいを記録しました。このプロジェクトは、今後も新たな事例を記録し、データを充実させる形で継続されます。当社のデータベースには、API漏えいの発生場所、業種、企業規模などの情報がまとめられており、データ漏えい一覧では、漏えいしたデータの種類、影響を受けた人数、発生日など、歴史上最大級の事例を網羅しています。このデータ漏えいデータベースは、組織が漏えいのリスクと影響を理解し、未然に防ぐための対策を講じる上で有用なツールです。最新の漏えい事例を把握し、Wallarmの知見を活用することで、機密情報の保護と顧客の信頼維持に役立てることができます。

無料レポートも入手可能です。

情報漏えいを防ぐには

情報漏えいを防ぐ対策は、エンドユーザー、IT担当者、社員、その他組織に関わる全ての関係者が参加する研修の一環です。

情報漏えい防止策を検討する際、どんなセキュリティも最も脆弱な部分と同じ強さであるとは言えません。システムに触れる全ての人が、何らかのリスクを生み出す可能性があるのです。実際、子供でさえスマートフォンを使用すれば脅威となり得ます。

以下は、情報漏えいを防ぐための最善の戦略と対策です：

• ソフトウェアの定期的なアップデートとパッチ適用。必要な更新は提供され次第、速やかに導入し、信頼できるソースからのみダウンロードする。
• 機密情報を守るために、強固な暗号化を利用する。詳細はこちら。
• 使用中の機器を最新の状態にし、メーカーがサポートしている製品を利用する。
• 強固な認証情報の使用と多段階認証の導入により、オンラインセキュリティを向上させる。利用者には強固なパスワードの設定を促す。
• 従業員に最新のセキュリティ対策を教育し、フィッシング攻撃などのソーシャルエンジニアリングを回避する方法を習得させる。
• 全ての機器にアンチウイルスソフトやマルウェア対策ソフトを導入する。