データ侵害とは何か、そしてそれを防ぐには?
機密情報が第三者に開示されないために
2023年12月15日
著者: Ahona Rudra
翻訳: 高峯 涼夏
この記事はPowerDMARCのブログ記事 What is a Data Breach, and How to Prevent it? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
2022年時点で、アメリカにおけるデータ侵害の平均コストは944万ドルで、これは2021年の905万ドルから上昇しています。
間違いなく、データはあらゆる組織にとって極めて重要であり、その侵害は長期的には全ての戦略や行動指針に影響を及ぼす可能性があります。
一般的に、データ侵害は脆弱なテクノロジーと教育されていない従業員が原因で発生します。
テクノロジーによってデバイスの相互接続が可能になるにつれ、ハッカーが悪用できる入り口が増えるため、データ侵害の危険性は高まります。
最近のデータ侵害事件は、企業がデータを守るために時間と労力を投資しなければならないという明確な警鐘に他なりません。
したがってこのブログでは、データ侵害を防ぐ9つの方法を紹介します。
しかし、まずデータ侵害とは何かを理解することから始めましょう。
データ侵害とは?
データ侵害は、プライベートで機密性の高い情報が不正な第三者に開示されるサイバー攻撃です。
重要な文書を所有者の許可なく共有、閲覧、コピーすることを含みます。
通常、悪意のある者はテクノロジーの弱点とユーザの不注意な行動を利用してシステムに侵入し、データを盗んだり傍受したりします。
HIPAA Journalによると、2009年から2021年の間に、それぞれ500件以上の記録を含む4,419件の医療データ侵害が報告されています。
これらの侵害は、3億1406万3186件の医療記録の紛失、盗難、流出、または不適切な開示につながりました。
医療データ侵害は、情報がハッカーにとって価値があるため、非常に頻繁に発生しています。
彼らはそれをダークWebで販売したり、それを使って処方箋を購入したり、治療を受けたり、偽の医療請求をしたりします。
データ侵害で狙われる対象とは?
脅威者が狙う一般的な脆弱性には以下のものがあります。
脆弱な認証情報
ハッカーがあなたのユーザ名とパスワードを手に入れた場合、多くのアカウントやフォルダのロックを解除できます。
ですから、簡単に推測できるパスワードを設定したり、複数のアカウントで再利用したりしないでください。
彼らはブルートフォース攻撃を試みることがあります。
これは、パスワードやログイン情報、暗号化されたメールなどを解読するために、何度も試行錯誤を繰り返す手法です。
侵害された資産
ハッカーはマルウェア攻撃を行い、コンピュータを保護するために使用される認証ツールを無効にします。
彼らはウイルス対策やマルウェア対策プログラムを無効にし、使用者が気付かないうちにシステムを攻撃します。
支払いカード詐欺
カードリーダに設置されたカードスキマーがカード番号を収集し、サイバー犯罪者はこの情報を回収して、不正な購入に悪用します。
サードパーティによるアクセス
ネットワークやデータを安全に保つための予防策を講じているにもかかわらず、悪意のある者はサードパーティのベンダを利用して不正な目的でシステムに侵入します。
モバイルデバイス
従業員はしばしば個人のモバイルデバイスを業務に使用することがあります。
これらのデバイスは、マルウェアが仕込まれたリンクのダウンロードに対してセキュリティが確保されておらず、ハッカーにデータ侵害を試みられてしまいます。
もしデータが侵害されたら?
データ侵害のコストは、金銭的な損失だけにとどまらず、ブランド価値や顧客との関係も損ないます。
以下は、データが侵害された場合に起こり得ることです。
- 企業の侵害
- 競合他社は、漏洩した情報を使って販売戦略やマーケティング戦略を妨害したり、ソースコードを盗んだり、顧客データに関する洞察を得たりすることができます。
インターネットサービス会社のYahoo!は、最も大きな被害を引き起こしたデータ侵害リストのトップにあります。
Yahoo!は2013年8月と2016年9月の2回にわたって大規模なデータ漏洩を引き起こし、何百万ものアカウントに影響を及ぼしました。
ハッカーは名前、メールアドレス、電話番号、暗号化された、もしくは暗号化されていない秘密の質問(の回答)、生年月日、ハッシュ化されたパスワードなどの詳細を盗み、悪用しました。 - 政府の侵害
- 政府データが侵害されると、機密情報が外国の関係者やテロリスト集団に暴露される可能性があります。
これは軍事および財政運営に影響を及ぼし、国民に脅威を与える可能性があります。 - 個人の侵害
- データ侵害により、あなたの個人情報(社会保障番号、銀行口座情報、病歴、ログイン情報など)が漏れる可能性があります。
ハッカーはこれらの情報を悪用し、フィッシングやなりすましなど、あなたの名前を騙ってさまざまな詐欺行為を行う可能性があります。
データ侵害の種類
データ侵害とは何か、そしてデータ侵害がどのような影響を及ぼすかについて十分ご理解いただけたと思いますので、次はその種類について学んでいきましょう。
クロスサイトスクリプティング(XSS)攻撃
クロスサイトスクリプティング(Cross-Site Scripting…XSS)は、信頼されている安全なWebサイトにサイバー犯罪者が悪意のあるスクリプトを挿入する攻撃です。
被害者が攻撃を受けたWebサイトを訪れると、この攻撃の影響を受けやすくなります。
これは医療データ侵害でよく見られる手法です。
XSSは、クッキーを盗んだり、ユーザのセッションを乗っ取ったり、アカウントを悪用したり、機密情報を傍受し盗んだり、あるいはデバイスの位置情報、マイク、Webカメラ、Bluetoothなどにアクセスするために実行されます。
SQLインジェクション攻撃
SQLはStructured Query Language(構造化照会言語)の略で、悪意のある者が既存のSQL要素に悪質なコードを注入し、システムを操作してアクセス権を取得する攻撃です。
これはデータを傍受したり、または管理者の認証情報を探し出したりして、システムを完全に乗っ取ろうとします。
MITM攻撃
MITM(中間者攻撃)は、送信者と受信者のサーバ間の通信やデータ転送を妨害する脅威者による盗聴攻撃です。
データ侵害を防ぐ9つの方法
中小企業企業であってもデータ侵害の平均コストは高く、298万ドルにも上ります。
大企業の場合はどれほどになるかを想像してみてください!
したがって、規模に関係なくすべての経営者は、データ侵害を避けるために以下の予防策を実践すべきです。
1. データバックアップと復旧
最近のデータ侵害事例では、ハッカーはデータを盗んで暗号化し、復号鍵と引き換えに高額な身代金を要求するランサムウェア攻撃を試みています。
そのため、3-2-1ルールに従ってデータをバックアップする必要があります。
このルールでは、合計3つのデータのコピーを持つことが必要です。
2つは異なる記憶媒体(例えば、ペンドライブとハードドライブ)に、もう1つは災害復旧のために遠隔地にコピーします。
2. 最も貴重で機密性の高いデータへのアクセスの制限
機密ファイルへのアクセスを、タスクを完了するためにそれらを必要とする人々にのみ与えてください。
逆に、ドキュメントやその他のファイル管理作業を可能な限り自動化することもできます。
これにより、貴重な機密データがハッカーに悪用されにくくなります。
特定のデータにアクセスする従業員の数を限定することで、誤って悪意のあるリンクをクリックしてしまう可能性を結果的に狭めることができます。
3. サードパーティベンダのコンプライアンス
サードパーティのベンダがアクセスできるデータを制限してください。
情報を競合他社やサイバー犯罪者に売却しようとする人がいるかもしれません。
4. ソフトウェアの更新
新しい脆弱性に対するパッチが含まれているため、ソフトウェアを常に最新の状態に保ってください。
これにより、悪用されかねない脆弱性に対応できます。
また、WordPressや他のCMSで構築されたWebサイトであっても、Webサイトの脆弱性はデータ侵害の最大の原因の一つなので、必ず安全性を確保してください。
全てのソフトウェアの更新をチェックする特別なプログラムを使用できます。
これらは効果的でありながらも手頃な価格です。
5. ポリシーの作成と更新
データ侵害に関するポリシーを作成し、一貫して更新してください。
それを守らない者には厳しい罰則を科すようにしましょう。
これにより、データ侵害に対して非常に厳格であることが従業員に伝わり、彼らも真剣に取り組むようになります。
6. 従業員の教育
すべての階級の従業員に、データ侵害とは何か、そしてそれをどのように未然に防ぐかについて認識を広めてください。
定期的に模擬訓練を行い、従業員がそのような状況にどのように対応するかをチェックしてください。
ブラウザのセキュリティ対策や強力なパスワードの設定方法について学ぶよう支援してください。
7. 廃棄前に破棄
デバイスからデータを完全に消去するために設計されたソフトウェアを使用して、機密情報を確実に適切に処分してください。
ファイルを単に削除したり、デバイスを再フォーマットしたりするだけでは、データ侵害に対して完全に保護されているとは言えません。
8. データの暗号化
メールで機密データを共有する場合は、常にデータを暗号化してください。
また、機密データの共有やアクセスに公共のWi-Fiを使用することは避けてください。
9. 携帯可能なデバイスの保護
フラッシュドライブ、スマートフォン、タブレット、ラップトップなどの携帯可能なデバイスの紛失や盗難は容易に起こります。
したがって、強力で推測しにくいパスワードを設定し、盗難防止アプリケーションをインストールしてください。