セキュリティ関連のニュースをご覧になっている方は、大企業が情報漏えいに遭ったという話を聞いたことがあるのではないでしょうか。これらの情報漏えいがユーザーであるあなたにどのような影響を与えるか、心配になるかもしれません。

ここでは、情報漏えいとは何かを説明し、今後の情報漏えいから身を守るためのアドバイスを提供します。

セキュリティインシデント、セキュリティ侵害、データ漏洩：何が違うのか？

企業や組織がハッキングやデジタル攻撃を受けることを総称して、セキュリティ・インシデントと呼びます。マルウェア感染、フィッシング、分散型サービス拒否攻撃、従業員による機器の紛失・盗難など、幅広い問題を対象としています。

セキュリティインシデントは、組織のセキュリティの侵害につながる場合もあれば、そうでない場合もある。攻撃者が組織のセキュリティを侵害することに成功した場合、それはセキュリティ侵害となる。

情報漏えいは、セキュリティ侵害の一種です。そもそもアクセスしてはいけないデータへのアクセスを攻撃者が成功させることである。多くの場合、攻撃者がセキュリティ侵害を実施した後、データを盗み出し、データ侵害が発生します。

しかし、それ以外のタイプのデータ侵害も存在する可能性があります。例えば、ある組織が機密データを誤って安全でない場所に放置してしまうことがあります。もし、アクセスできないはずのデータにアクセスできてしまったら、それはデータ漏洩です。

有名な情報漏えいの例は何ですか？

2018年に近年最大級の情報漏えいが発覚しました。ハッカーがFacebookを攻撃し、約3,000万人のユーザーの情報を盗み出した。Facebookの開発者用api（applicationprogramminginterface）を通じて攻撃を行い、ユーザーの名前、性別、出身地などの情報を入手することができた。

また、2017年には、アメリカ人のデータを大量に保有する大手信用調査会社Equifaxで、注目すべきデータ漏洩が発生しました。ハッカーは、よく知られた脆弱性を利用して、消費者からの苦情受付ポータルサイトを通じて同社のシステムに初期アクセスしました。

そして、ポータルを使って、ネットワークの他の部分にアクセスするのです。ユーザー名やパスワードが平文で保存されているのを発見する（これはセキュリティ上の大きなミスである）。そして、このパスワードを使って、氏名、住所、国民保険番号、生年月日などのデータを盗み出すのです。この脆弱性は、合計で最大1億4500万人に影響を与える可能性があります。

銀行やクレジットカード会社のCapital Oneも、2019年にデータ侵害に見舞われました。ハッカーは、1億人以上の顧客の名前、住所、クレジットスコア、社会保障番号を盗むことができました。

同社はウェブアプリケーションファイアウォールの設定を誤り、ハッカーがそれを使ってシステムにアクセスすることができました。このハッカーはソフトウェアエンジニアで、以前はCapital Oneのウェブホスティング会社であるAmazon web Servicesで働いていた。

情報漏えいはどのように起こったのですか？

情報漏えいが発生する原因はさまざまです。Kastle Systemsのレポートによると、データ漏洩の最も一般的な原因はハッキングで、次がセキュリティの不備です。ハッカーはデータ侵害の約50%でマルウェアを使用しています。4分の1はソーシャルエンジニアリングが使われています。

ハッカーは、スパムメールなどの手法で標的のコンピュータにマルウェアを侵入させることがあります。電子メールは、ユーザーを誘い込んでリンクをクリックさせ、そのリンクから端末にマルウェアをダウンロードさせます。また、フィッシングなどのソーシャル・エンジニアリング攻撃も、システムを侵害する方法の一つです。ここでは、ハッカーは偽のウェブサイトを作成し、ユーザ名とパスワードを入力するようにユーザーをだます。

ハッカーは、これらのユーザー名とパスワードをコピーして、安全なシステムにアクセスするために使用することができます。

時には、被害を受けた組織がミスを犯し、情報漏えいにつながることもあります。例えば、社員が会社のパソコンを紛失したり、盗まれたりすることがあります。もし、サイバー犯罪者がそのコンピューターを手に入れたら、会社のシステムにアクセスすることができます。

また、Equifaxのケースに見られるように、パスワードを平文で保存するなど、セキュリティ対策が不十分な組織もあります。そのため、ハッカーにデータを盗まれやすくなってしまうのです。

情報漏えいの被害に遭ったら、どうすればいい？

多くの企業が情報漏えいの被害に遭っており、あなたもその影響を受けている可能性があります。したがって、自分の情報が侵害の一部になっているかどうかを調べるには、ウェブサイトHaveIBeenPwned.comが最適なリソースとなります。このサイトにメールアドレスを入力すると、データ流出の影響を受けているかどうかを確認することができます。

もし、あなたの情報が情報漏えいに含まれていたとしても、慌てないでください。まず、どのサイトが侵害の原因になっているかを確認します。さあ、それぞれのサイトにアクセスして、すぐにパスワードを変更してください。ほとんどの場合、これだけで十分な保護が得られるはずです。

時には、もっと思い切った行動も必要です。例えば、契約違反があなたの銀行に影響を与えたり、あなたの国民保険番号のような非常に機密性の高いデータが漏えいした場合に起こり得ます。このような場合、クレジットを凍結したり、クレジット・モニタリング・サービスを利用したり、クレジット・レポートをチェックして、誰もあなたに代わって不審なことをしていないことを確認したりするとよいでしょう。

自分の名前で口座が開設されたと思われる場合は、金融機関の詐欺部門に連絡し、その旨を伝えてください。

情報漏えいから身を守るにはどうしたらよいですか？

情報漏えいを防ぐために、次のような対策をとることができます。

• 強力なパスワードを使用する。パスワードは、数字、文字、特殊文字が混在しているのが理想的です。また、複数のサイトやログインで同じパスワードを繰り返し使用しないようにしましょう。最後に、パスワードは誰とも共有しないでください。
• HTTPSを使用すると、サイトに安全に接続することができます。これにより、ハッカーがあなたのデータを傍受することがより困難になります。
• 迷惑メールやフィッシングなど、不審な通信に注意する。特に、迷惑メールを受け取ったり、評判の悪いウェブサイトを訪問している場合は、クリックするときに注意が必要です。
• 機器やソフトウェアを常に最新の状態に保つ。OSやその他のソフトウェアのアップデートは面倒なものです。しかし、攻撃から身を守るための重要な手段です。セキュリティの脆弱性が公表されると、企業はその脆弱性に対応するためにソフトウェアを更新します。アップデートしないと、セキュリティに大きな穴が開いてしまいます。
• 定期的に信用情報を確認する。もし、あなたのデータが盗まれたと思ったら、そのデータを使って、あなた名義のクレジットカードを作ることができます。そこで、クレジット・モニタリング・サービスを利用するとよいでしょう。これは、あなたのアカウントに不審な動きがあることを会社が発見した場合に、アラートを送信するものです。

情報漏えいを防ぐための対策

これらの情報があれば、情報漏えいの可能性に備えることができます。これらのステップを踏むことで、将来的に情報漏えいの被害者になる可能性を減らすことができます。

もしあなたが仕事でデータを使っているなら、ハッカーがどのようにあなたの組織を攻撃するかについても考慮する必要があります。詳しくは、職場でのセキュリティ侵害を回避するためのデータ取り扱いのヒントをご覧ください。