\r\n\r\n
セキュリティ関連のニュースをご覧になっている方は、大企業が情報漏えいに遭ったという話を聞いたことがあるのではないでしょうか。これらの情報漏えいがユーザーであるあなたにどのような影響を与えるか、心配になるかもしれません。
ここでは、情報漏えいとは何かを説明し、今後の情報漏えいから身を守るためのアドバイスを提供します。
企業や組織がハッキングやデジタル攻撃を受けることを総称して、セキュリティ・インシデントと呼びます。マルウェア感染、フィッシング、分散型サービス拒否攻撃、従業員による機器の紛失・盗難など、幅広い問題を対象としています。
セキュリティインシデントは、組織のセキュリティの侵害につながる場合もあれば、そうでない場合もある。攻撃者が組織のセキュリティを侵害することに成功した場合、それはセキュリティ侵害となる。
情報漏えいは、セキュリティ侵害の一種です。そもそもアクセスしてはいけないデータへのアクセスを攻撃者が成功させることである。多くの場合、攻撃者がセキュリティ侵害を実施した後、データを盗み出し、データ侵害が発生します。
しかし、それ以外のタイプのデータ侵害も存在する可能性があります。例えば、ある組織が機密データを誤って安全でない場所に放置してしまうことがあります。もし、アクセスできないはずのデータにアクセスできてしまったら、それはデータ漏洩です。
2018年に近年最大級の情報漏えいが発覚しました。ハッカーがFacebookを攻撃し、約3,000万人のユーザーの情報を盗み出した。Facebookの開発者用api(applicationprogramminginterface)を通じて攻撃を行い、ユーザーの名前、性別、出身地などの情報を入手することができた。
また、2017年には、アメリカ人のデータを大量に保有する大手信用調査会社Equifaxで、注目すべきデータ漏洩が発生しました。ハッカーは、よく知られた脆弱性を利用して、消費者からの苦情受付ポータルサイトを通じて同社のシステムに初期アクセスしました。
そして、ポータルを使って、ネットワークの他の部分にアクセスするのです。ユーザー名やパスワードが平文で保存されているのを発見する(これはセキュリティ上の大きなミスである)。そして、このパスワードを使って、氏名、住所、国民保険番号、生年月日などのデータを盗み出すのです。この脆弱性は、合計で最大1億4500万人に影響を与える可能性があります。
銀行やクレジットカード会社のCapital Oneも、2019年にデータ侵害に見舞われました。ハッカーは、1億人以上の顧客の名前、住所、クレジットスコア、社会保障番号を盗むことができました。
同社はウェブアプリケーションファイアウォールの設定を誤り、ハッカーがそれを使ってシステムにアクセスすることができました。このハッカーはソフトウェアエンジニアで、以前はCapital Oneのウェブホスティング会社であるAmazon web Servicesで働いていた。
情報漏えいが発生する原因はさまざまです。Kastle Systemsのレポートによると、データ漏洩の最も一般的な原因はハッキングで、次がセキュリティの不備です。ハッカーはデータ侵害の約50%でマルウェアを使用しています。4分の1はソーシャルエンジニアリングが使われています。
ハッカーは、スパムメールなどの手法で標的のコンピュータにマルウェアを侵入させることがあります。電子メールは、ユーザーを誘い込んでリンクをクリックさせ、そのリンクから端末にマルウェアをダウンロードさせます。また、フィッシングなどのソーシャル・エンジニアリング攻撃も、システムを侵害する方法の一つです。ここでは、ハッカーは偽のウェブサイトを作成し、ユーザ名とパスワードを入力するようにユーザーをだます。
ハッカーは、これらのユーザー名とパスワードをコピーして、安全なシステムにアクセスするために使用することができます。
時には、被害を受けた組織がミスを犯し、情報漏えいにつながることもあります。例えば、社員が会社のパソコンを紛失したり、盗まれたりすることがあります。もし、サイバー犯罪者がそのコンピューターを手に入れたら、会社のシステムにアクセスすることができます。
また、Equifaxのケースに見られるように、パスワードを平文で保存するなど、セキュリティ対策が不十分な組織もあります。そのため、ハッカーにデータを盗まれやすくなってしまうのです。
多くの企業が情報漏えいの被害に遭っており、あなたもその影響を受けている可能性があります。したがって、自分の情報が侵害の一部になっているかどうかを調べるには、ウェブサイトHaveIBeenPwned.comが最適なリソースとなります。このサイトにメールアドレスを入力すると、データ流出の影響を受けているかどうかを確認することができます。
もし、あなたの情報が情報漏えいに含まれていたとしても、慌てないでください。まず、どのサイトが侵害の原因になっているかを確認します。さあ、それぞれのサイトにアクセスして、すぐにパスワードを変更してください。ほとんどの場合、これだけで十分な保護が得られるはずです。
時には、もっと思い切った行動も必要です。例えば、契約違反があなたの銀行に影響を与えたり、あなたの国民保険番号のような非常に機密性の高いデータが漏えいした場合に起こり得ます。このような場合、クレジットを凍結したり、クレジット・モニタリング・サービスを利用したり、クレジット・レポートをチェックして、誰もあなたに代わって不審なことをしていないことを確認したりするとよいでしょう。
自分の名前で口座が開設されたと思われる場合は、金融機関の詐欺部門に連絡し、その旨を伝えてください。
情報漏えいを防ぐために、次のような対策をとることができます。
これらの情報があれば、情報漏えいの可能性に備えることができます。これらのステップを踏むことで、将来的に情報漏えいの被害者になる可能性を減らすことができます。
もしあなたが仕事でデータを使っているなら、ハッカーがどのようにあなたの組織を攻撃するかについても考慮する必要があります。詳しくは、職場でのセキュリティ侵害を回避するためのデータ取り扱いのヒントをご覧ください。