目次
情報漏洩とは、機密性の高い情報、保護された情報、または秘密情報が本来の環境外に意図せずに露出することです。これは、内部の人為的なミス、ソフトウェアの脆弱性、不十分なデータセキュリティ対策など、さまざまな理由で発生します。情報漏洩は、個人情報、財務記録、企業秘密、その他の機密データを危険にさらす可能性があります。漏洩した情報はすぐに、さらなるデータ侵害を引き起こすために使用され、個人や組織にとって深刻な結果をもたらし、 風評被害、経済的な損失、法的な影響を引き起こします。
「情報漏洩」と「データ侵害」という用語はしばしば同じ意味で使われますが、情報漏洩は脆弱性を悪用する必要はありません。情報漏洩は、単に不十分なセキュリティポリシーやストレージの設定ミスによってデータが第三者に公開されることを意味します。ほとんどのシナリオでは、情報漏洩は偶発的であるのに対し、データ侵害は悪意があり意図的です。
サイバーセキュリティ教育とトレーニングを始めましょう
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
情報漏洩とデータ侵害の違い
それほど大切でないように思えるかもしれませんが、情報漏洩とデータ侵害の違いを理解することは重要です。どちらも費用がかかり、重大な結果をもたらす可能性がありますが、情報漏洩はデータ侵害よりもはるかに過失が関与しています。人為的なミスは組織にとって重大なリスクであり、情報漏洩は通常、内部脅威の結果であり、意図的ではないことが多いものの、データ侵害と同様に損害をもたらします。
予期しないリスクや未知のソフトウェア、ハードウェア、またはセキュリティインフラの脆弱性がデータ侵害を引き起こします。攻撃者が成功するためには、脆弱性を見つけて悪用する必要があるため、管理者は古くなったソフトウェアを常に更新し、セキュリティパッチや更新を直ちにインストールする必要があります。
情報漏洩はデータ侵害を引き起こしますが、未知の脆弱性を悪用する必要はありません。通常、情報漏洩の背後には人為的なミスがあります。情報漏洩の良い例として、誤って設定されたAmazon Web Services (AWS) S3バケットがあります。S3バケットは、ファイルやデータをアップロードするために使用されるクラウドストレージスペースです。これらは公開アクセス用に設定することも、認可されたユーザーのみがデータにアクセスできるようにロックすることもできます。管理者がアクセスを誤って設定し、データを第三者に公開してしまうことはよくあります。誤設定されたS3バケットは非常に一般的であり、一部のサイトでは誤設定されたS3バケットをスキャンして誰でも確認できるように公開しています。
情報漏洩の原因
情報漏洩は、技術的な設定ミス、人為的なエラー、組織のセキュリティポリシーの弱点が組み合わさって発生する可能性があります。情報漏洩の原因はデータ侵害の原因と重なることが多いですが、主に機密情報の意図しない露出に関連しています。情報漏洩に寄与する主な要因には以下が含まれます。
- インフラストラクチャの設定ミス: 情報漏洩の最も一般的な原因の一つです。AWS S3のようなクラウドサービスや内部サーバーの設定ミス、不適切なセキュリティ設定により、意図しないデータの露出が発生します。これには、誤ってポートを開き、不正アクセスを許可してしまうファイアウォールの設定ミスが含まれます。
- セキュリティポリシーの弱さ: 厳格なセキュリティポリシーがないと、データが知らぬ間に公開されることがあります。組織は不正アクセスを防ぐための強力なプロトコルを持つ必要があります。
- 従業員およびベンダーのエラー: 人為的エラーは、意図的かどうかに関わらず、情報漏洩の重要な要因です。これらのエラーには、機密データの取り扱いミスや、確立されたセキュリティ手順の未遵守、ベンダーがアクセス可能なデータを誤って公開することが含まれます。すべての従業員に対する適切なサイバーセキュリティトレーニングがこのリスクを軽減するために重要です。
- システムエラー: 時折、予期せぬシステムエラーにより、不正ユーザーへのアクセスがデフォルトで開かれ、情報漏洩が発生することがあります。漏洩したデータは、検索エンジンによってインデックスされ、簡単に発見されることがあります。
- オープンソースのファイルおよびリポジトリ: 開発者が誤ってパブリックリポジトリに機密データ(ハードコード化された認証情報やアクセスキーなど)を含めることがあります。脅威アクターがこれらを悪用してデータに不正アクセスする可能性があります。
- 未適用のインフラストラクチャ: セキュリティパッチが適時に適用されない場合、ソフトウェアやシステムの脆弱性が不正データアクセスの入り口となることがあります。
これらの脆弱性に対処し、サイバーセキュリティ意識の文化を浸透させることで、組織は情報漏洩のリスクを大幅に減らすことができます。
漏洩する情報の種類
組織はデータが不正ユーザーに公開されることを望んでいませんが、データの中には他のものよりも機密性の高いものがあります。製品表を公開することは大した問題ではないかもしれませんが、ユーザーの社会保障番号や身分証明書が含まれるリストが公開されることは、組織の評判を永久に傷つける深刻な事態となり得ます。
情報漏洩後、以下のようなデータが公開される可能性があります。
- ファイルやデータベースに保存されている企業秘密や知的財産
- 非公開の独自ソースコード
- ユーザー名、パスワード、セキュリティ質問などの認証情報
- 顧客リスト、売上データ、その他の業務関連情報などのビジネスデータ
- ベンダーの価格設定を含む現在の製品および在庫状況
- 製品改良、特許、発明に使用される独自の研究データ
- 健康情報や財務情報を含む顧客の機密データ
- 社員の社会保障番号、財務情報、認証情報を含む社員データ
- 医療記録、保険情報、処方情報などの健康情報
- メール、チャットログ、その他の形式のプライベートな通信
漏洩した情報とサイバー犯罪者
サイバー犯罪者は常に脆弱性や機会を狙っており、漏洩した情報は彼らの悪意ある活動にとって貴重な資産です。しかし、彼らは漏洩した情報に何を求めているのでしょうか?そして、一度手に入れたデータをどうするのでしょうか?
- 個人識別情報 (PII): 名前、住所、社会保障番号などを含みます。犯罪者はこれらのデータを使用して、個人になりすまして詐欺を行ったり、クレジットを取得したり、他の財務的利益を得たりします。
- 財務情報: クレジットカードの詳細、銀行口座番号、その他の財務データは、不正取引の実行や資金の引き出し、さらにはダークウェブでの販売に使用されます。
- ログイン認証情報: 様々なアカウントのユーザー名とパスワードは、不正アクセスのために悪用されます。サイバー犯罪者は、複数のサイトにアクセスするために、パスワードを使い回すことを見越してクレデンシャルスタッフィングなどの手法を用います。
- 健康記録: 医療情報は非常に価値が高く、保険詐欺や処方詐欺に使用されたり、関心のある第三者に販売されたりします。
- 企業秘密および知的財産: 企業にとって、漏洩したデータは独自の情報を含む可能性があります。サイバー犯罪者はこれを競合他社に販売したり、企業スパイ活動に利用したりします。
- メールおよび個人通信: これらは恐喝や、さらに標的を絞った攻撃(スピアフィッシングキャンペーンなど)に利用される可能性があります。
- 運用データ: 組織の運用、ネットワーク構成、またはセキュリティ慣行に関する情報は、より高度なサイバー攻撃を促進するために使用される可能性があります。
漏洩した情報の悪用
漏洩した情報の種類によって、脅威アクターはさまざまな悪意のある目的で情報を利用することができます。以下は、サイバー犯罪者が漏洩した情報を使って行うことの一部です。
- 直接的な金銭的利益: データをダークウェブで販売したり、不正な取引に使用したりします。
- フィッシング攻撃の実行: サイバー犯罪者は、漏洩したデータを使用して、正当なものに見えるフィッシングメールを作成し、人々を騙して個人情報を提供させたり、マルウェアをダウンロードさせたりします。
- ランサムウェア攻撃の実行: 脅威アクターは、漏洩したデータを使用してランサムウェア攻撃を開始し、被害者のデータを暗号化して、復号化キーと引き換えに支払いを要求します。
- 個人情報窃盗の実行: サイバー犯罪者は、漏洩したデータを使用して人々の個人情報を盗み、銀行口座を開設したり、ローンを申請したり、不正な購入を行ったりします。
- 他の犯罪を助長: 盗まれた個人情報を使用して、詐欺から偽のクレジット申請まで、さまざまなオフライン犯罪を実行します。
- 風評被害: 有名人や高名な企業にとって、漏洩したデータは評判を傷つけるために使用される可能性があります。
デジタル環境が進化するにつれて、今日のサイバー犯罪者の動機や手法は絶えず変化しています。彼らが漏洩データを悪用する新たな方法を開発する中で、個人や組織はサイバーセキュリティ対策において常に警戒し、積極的に取り組む必要があります。
情報漏洩対策(企業用)
情報漏洩対策には、常に従業員の教育と訓練が含まれるべきですが、管理者は情報漏洩を防ぐために追加の措置を講じることもできます。
情報漏洩を防ぐための方法は以下の通りです。
- データの監査と分類: 急成長する企業は、データやその保存場所を把握しきれなくなることがよくあります。データの所在を把握せずにアプリケーションやユーザーがデータを移動させると、全てのベースをカバーするのは困難です。データ分類は、従業員の権限乱用や不要なアクセスによる情報漏洩の可能性も明らかにします。
- 積極的な対策: リスク評価と管理は、リスクを特定し、追加のセキュリティ対策、ポリシー、および従業員トレーニングを必要とする緩和戦略を管理者に提供します。
- サードパーティのリスク評価: データにアクセスするサードパーティベンダーやパートナーのセキュリティ対策を評価します。情報漏洩を防ぐために、強力なセキュリティ対策を使用していることを確認します。
- アクセス制御の実施: 組織に適したアクセス制限と見直しを行います。役割ベースのアクセス制御を使用して、認可された人員のみが機密データにアクセスできるようにすることを検討します。
- 暗号化の使用: データ暗号化はデータを別のコードや形式に変換し、復号化キーやパスワードを持つ者だけがデータを読むことができます。情報漏洩が発生した場合でも、サイバー犯罪者が機密データを読めないようにすることができます。
- DLP(情報漏洩対策) ソフトウェアの導入: DLPソフトウェアはデータを継続的に監視および分析し、セキュリティポリシーの違反の可能性を特定します。適切なDLPソリューションは、ポリシー違反を特定するだけでなく、それを効果的に防止することができます。
- 価値と機密性に基づいたデータ保護: 重要でないデータの漏洩は理想的ではありませんが、機密データの漏洩ほどの損害はありません。監査とデータ発見の後、最も価値のあるデータに焦点を当てます。データ発見ソフトウェアは信頼性のある自動化されたコンテンツ分析を提供し、ネットワーク全体で情報を追跡するのに役立ちます。
- サイバーセキュリティトレーニングの提供: 教育は、フィッシングやソーシャルエンジニアリングによる人為的ミスの可能性を減らします。また、従業員がデータを適切に管理し、保護する方法を理解するのにも役立ちます。
- 監視: 適切な監視ツールを展開することで、管理者は異常をより早く特定し、脅威の封じ込めや排除においてより積極的になることができます。一部のツールは、設定ミスや潜在的な情報漏洩問題も特定します。
- ディザスタリカバリプランを持つ: バックアップを用いたディザスタリカバリは、破壊されたデータを復元します。復旧計画には、データ復旧に関与する人々と、影響を受けた顧客やニュース媒体と連絡を取るための多くのステップが含まれます。
情報漏洩のシナリオ
機密データを保護するためのセキュリティインフラストラクチャをより効果的に設計するには、情報漏洩が発生する一般的なシナリオを知ることが役立ちます。組織に情報漏洩が実際に発生するまでシナリオを特定できないこともあります。以下は、組織が情報漏洩の被害を受ける可能性があるいくつかのシナリオです。
- 従業員が職場からファイルを持ち帰る: 大企業がUSBドライブへのアクセスを制限することには理由があります。従業員はデータを保存し仕事を持ち帰って行うことが無害だと思うかもしれませんが、デバイスが紛失したり安全に保管されていなかったりすると、情報漏洩につながる可能性があります。
- 暗号化されていないデータの保存: 許可エラーや誤ってパブリックアクセス可能なクラウドストレージに転送された場合、ユーザーや攻撃者は暗号化されていないデータを取得する可能性があります。インスタントメッセージやメールで送信されたデータも暗号化されていない場合、脆弱です。
- パスワードの誤用: 従業員がパスワードを書き留めていたり、安全でない方法で保存したりすると、第三者に誤って公開される可能性があります。強力なパスワードは侵害やデータ損失を防ぐための鍵であり、パスワードに関する意識とベストプラクティスを従業員に教育することが非常に重要です。
- 古いソフトウェア: 開発者は既知の脆弱性を持つソフトウェアにパッチを当てますが、管理者はそれをインストールするためのイニシアチブを取る必要があります。セキュリティパッチは直ちにインストールされるべきであり、そうでない場合、攻撃者は脆弱なデータストレージシステムを悪用する可能性があります。
- ソフトウェアの設定ミス: ファイルやデータを保存するようソフトウェアが適切に設定されていない場合、管理者が気付かないうちにデータが公開される可能性があります。
- 開発サーバーの侵害: 開発環境はしばしば保護が緩くなっていますが、開発者はアクセスのために本番データを開発サーバーに複製します。それは無害に見えるかもしれませんが、開発者がサーバーや環境を設定する際にデータを公開する可能性があります。
情報漏洩の事例
一般的なシナリオの認識はデータガバナンスやリスク管理に役立ちますが、大企業であっても脅威の被害を受けることがあります。以下は、大企業や政府機関に影響を与えた情報漏洩の実例です。
- テキサス州保険局は2022年まで特定されなかった継続的な情報漏洩を経験しました。潜在的にアクセス可能な情報には、名前、住所、生年月日、電話番号、社会保障番号の一部または全部、傷害および労働者災害補償請求に関する情報が含まれていました。
- ペガサス航空の設定ミスによるデータベースが、オンライン上で個人データを含む2300万件のファイルを公開しました。このデータベースには、フライトチャート、ナビゲーション資料、フライトクルーに関する情報が含まれていました。この事件により、顧客の信頼が大きく失われ、規制当局から罰金を課されました。
- 退役軍人局は、従業員がデータを持ち帰った後に2600万件の社会保障番号や生年月日を含む機密データを紛失しました。
- アイダホ電力会社は、機密ファイルや機密情報を含む使用済みハードドライブをeBayで販売した後、情報漏洩の被害を受けました。
- ロヨラ大学のコンピューターは、学生の機密情報を含むハードドライブを消去せずに廃棄しました。その結果、社会保障番号や奨学金記録が公開されました。
- ノースダコタ大学の契約業者の車から数千件の名前、社会保障番号、クレジットカード情報を含むベンダーのノートパソコンが盗まれました。
- テキサス大学のソフトウェアエラーにより、12,000人の学生の名前、コース、および成績に不正アクセスが可能になりました。
情報漏洩に対するProofpointのソリューション
誤設定や情報漏洩対策(DLP) のギャップを特定するには、これらの問題を監視しスキャンするスタッフが必要です。多くの組織は、災害に備える計画を立てたり、意図しない情報漏洩からデータを保護するインフラを構築したりするための人員が不足しています。Proofpointは、情報漏洩対策の設計から実施までを一貫してサポートします。当社の情報保護専門家が、データの分類、データ手順の自動化、規制要件の遵守、効果的なデータガバナンスを支えるインフラの構築をお手伝いします。
Proofpointは、組織外への機密情報の漏洩を防止するための包括的なDLPソリューションも提供しています。当社のDLP製品は、組織に固有の機密データを特定および分析し、データ流出の送信を検出し、規制遵守を自動化することを可能にします。
- エンタープライズDLPは、人を中心としたソリューションであり、コンテンツ、行動、および脅威に関するコンテキストを統合し、リスクの全体像を把握します。
- メールDLPは、機密データや機密情報を検出し、それがメールを通じて組織外に漏洩するのを防ぎます。
- エンドポイントDLPは、統合されたコンテンツ認識と行動および脅威認識を提供し、ユーザーの機密データとのやり取りに関する詳細な可視性を提供します。
これらのソリューションは、組織がデータの発見を簡素化し、迅速に評価してあらゆる問題に対応するのに役立ちます。詳細については、Proofpointにお気軽にお問い合わせください。