過去のデータ侵害とフィッシング攻撃の事例から学べること
2025年3月28日
著者: Milena Baghdasaryan
翻訳: 古川 綾乃
この記事はPowerDMARCのブログ記事 Famous Data Breaches & Phishing Attacks: What We Can Learnの翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
データ侵害やフィッシング攻撃は、発生件数・被害規模の両面で年々増加しています。
2023年には、過去最多となる3,205件のデータ漏洩が報告され、前年と比べて78%増加しました。
現在の脅威だけでなく将来の脅威にも効果的に対処するには、過去に実際に起きたサイバー攻撃を振り返ることは、不可欠な取り組みです。
過去の事例を分析することで、攻撃の傾向や共通する脆弱性を把握でき、適切な対策や予防策を検討する手がかりが得られます。
代表的なデータ侵害の事例
以下に、代表的なデータ侵害の事例を紹介します。
1.Facebookのデータ侵害(2019年)
2019年に発覚したFacebookのデータ侵害では、約5億3,300万人分のユーザーの個人情報が漏洩しました。
このデータは、2019年9月以前に、攻撃者がFacebookの連絡先インポーター機能を悪用し、プロフィール情報をスクレイピングして取得したものです。
この侵害は106か国のユーザーに影響を及ぼしました。
内訳として、アメリカで約3,200万件、イギリスで約1,100万件、インドで約600万件の記録が含まれていました。
この事例は、クラウド環境におけるセキュリティ設定不備のリスクを浮き彫りにしました。
2.Sony PlayStation Networkの侵害(2011年)
2011年に発生したSony PlayStation Networkの侵害では、約7,700万件のアカウント情報が流出しました。
この影響で、ユーザーはPlayStation 3からサービスにアクセスできなくなり、PlayStation Portableも利用不能となりました。
Sonyは法的措置を受け、被害を受けたユーザーに対して補償を行うことになりました。
この事件は、セキュリティ侵害の可能性が判明した段階で、迅速にユーザーへ通知し、クレジットカード情報の不正利用を防ぐ対応が不可欠であることを示しています。
3.Colonial Pipelineのランサムウェア攻撃(2021年)
この事件は、近年のサイバー攻撃の中でも特に社会的影響が大きかった事例です。
2021年5月7日、アメリカ最大の燃料パイプライン運営会社であるColonial Pipelineは、ランサムウェア攻撃を受け、全社的なネットワーク停止を余儀なくされました。
攻撃によってITシステムが侵害され、約100ギガバイトのデータが盗まれました。
同社のパイプラインは1日あたり約250万バレルの燃料を輸送し、アメリカ東海岸の燃料供給の約半分を担っていますが、数日間にわたり稼働が停止しました。
この停止により、東海岸の燃料供給の約45%に影響が及び、消費者や経済への影響も懸念されました。
パイプラインは5月12日に再稼働し、通常運転に戻ったのは5月15日でした。
Colonial Pipelineは身代金として75ビットコイン(当時約440万ドル)を支払いました。
この事件は、パスワードのみに依存した認証の危険性と、多要素認証(MFA)の導入の必要性を強く示しました。
4.Equifaxのデータ侵害(2017年)
2017年、信用情報機関のEquifaxは大規模なデータ侵害を受け、約1億4,700万人のアメリカ人の個人情報が流出しました。
Equifaxは、個人への補償および民事制裁として7億ドルの支払いを命じられました。
さらに、48州、ワシントンD.C.、プエルトリコ、消費者金融保護局に対し、合計で2億7,500万ドルの制裁金と補償金を支払うことになりました。
被害者には、10年間の無料クレジット監視サービス、または125ドルの現金補償が提供されました。
この事件は、脆弱性が判明した時点で迅速に対策を講じる必要性が読み取れます。
5.Marriott Internationalのデータ侵害(2018年)
2018年、Marriott Internationalは、買収したStarwoodの予約データベースにおいて大規模なデータ侵害が発生していたことを公表しました。
この侵害は2014年に始まり、最大で5億人分の宿泊客の個人情報が流出しました。
漏洩した情報には機微なデータが含まれており、そのうち約3億2,700万人分はパスポート番号が含まれていました。
Marriottは集団訴訟を受け、株価は約5.6%下落しました。
推定される損失額は、収益減少分を含め約10億ドルに上るとされています。
この事件から得られる教訓は、暗号化の徹底、ネットワーク分離、定期的なセキュリティ監査を実施する必要性です。
また、ホテル業界がサイバー犯罪者や国家主体にとって価値の高い標的であることも明らかになりました。
代表的なフィッシング攻撃の事例
以下に、いくつかの代表的なフィッシング攻撃の例を紹介します。
1.GoogleおよびFacebookのCEO詐欺(2013〜2015年)
この攻撃では、48歳のEvaldas Rimasauskasがアジアの製造会社Quanta Computerの従業員になりすまし、数年にわたってFacebookとGoogleを騙しました。
その結果、2013年から2015年にかけて、両社の従業員や関係者が騙され、彼の銀行口座に約1億ドルを送金してしまいました。
この攻撃により、GoogleとFacebookは合わせて約1億ドルの損失を被り、評判にも損害を受けました。
この事件からは、いくつかの重要な教訓が明らかになりました。
特に高額・大規模な取引では、厳格な承認プロセスを設けることが重要です。
また、ドメインのなりすましを防ぎ、メールセキュリティを強化するために、DKIM、SPF、DMARCを導入する必要性も強調されました。
2.民主党全国委員会(DNC)ハッキング(2016年)
2016年の民主党全国委員会のメール漏洩事件では、「Guccifer 2.0」という偽名を使った攻撃者(単独または複数)によって、多数のメールが盗まれました。
この事件では、19,252件のメールと8,034件の添付ファイルが流出しました。
この漏洩では、バーニー・サンダース陣営に対する偏りが明らかとなり、DNC議長のDebbie Wasserman Schultzなど、複数の要職の辞任につながりました。
また、この漏洩はヒラリー・クリントンの選挙戦にも大きな損害を与えました。
この出来事は、サイバー攻撃が政治に多大な影響を及ぼし、大統領選挙の結果にさえ影響を与える可能性があることを示しました。
3.Ubiquiti Networksのフィッシング攻撃(2021年)
2020年12月、Ubiquiti社の上級クラウドエンジニアであった従業員が関与した侵害が発生しました。
この従業員はVPNを用いて身元を隠し、会社のGitHubリポジトリを複製しました。さらに、AWSのログを改竄することで、自身の関与や侵害の証拠を隠蔽しました。
さらに、虚偽の攻撃内容を有名なセキュリティブロガーにリークした結果、Ubiquitiの株式価値は40億ドル失われました。
これら一連の不正行為の結果、Ubiquitiの株価は2021年3月30日から31日にかけて約20%下落しました。
この事件は、クラウドサービスにおける管理者アクセスの監視と制御の必要性を示しました。
また、特に上級職の採用に際しては、包括的な身元調査が必要であり、採用後も継続的な監視が必要であるという教訓が得られました。
4.Twitterビットコイン詐欺(2020年)
2020年7月15日、130の著名なTwitterアカウント(イーロン・マスク、ビル・ゲイツ、バラク・オバマなど)が外部から侵害され、「ビットコイン贈与」詐欺を宣伝するために利用されました。
この攻撃では、特定のウォレットアドレスにビットコインを送れば倍にして返すと謳われました。
この詐欺により、約400人の被害者から合計約11万8,000ドル相当のビットコインが盗まれました。
このハッキングの後、Twitterの株価は4%下落しました。
この事件からは、内部からの脅威を防ぐためには、強固な社内セキュリティプロトコルが不可欠であるという重要な教訓が得られました。
また、従業員の社内ツールやシステムへのアクセスを制限し、厳密に監視することが不正使用を防ぐために極めて重要であることが改めて明らかになりました。
加えて、仮想通貨詐欺と、ビットコイン取引の不可逆性について一般への教育も必要であることが明らかになりました。
5.暗号資産取引所へのフィッシング攻撃
2023年から2024年初頭にかけて、暗号資産取引所に対するフィッシング攻撃の件数が大幅に増加しました。
これらの攻撃では、人気のある取引所やウォレットサービスの偽のログインページや、正規の暗号資産ウォレットを模倣した悪意のあるブラウザ拡張機能が使われることがよくあります。
2023年における暗号資産フィッシング攻撃の経済的影響は非常に大きなものでした。
ウォレット・ドレイナーマルウェアにより、324,000人以上の被害者から約3億ドル相当の暗号資産が盗まれました。
このような背景から、ログイン情報を入力したりウォレットを接続したりする前には、WebサイトのURLを必ず確認することが重要です。
近年のデータ侵害およびフィッシング事例
近年発生した主なデータ侵害およびフィッシング事例には、以下のようなものがあります。
Hospital Sisters Health System(2023年)
Hospital Sisters Health System(HSHS)は、2023年8月のサイバー攻撃により発生したデータ侵害について、882,000人の患者に通知しました。
この侵害では、氏名、生年月日、住所、社会保障番号、運転免許証番号、医療記録番号、健康保険の詳細などが漏洩しました。
MGM Resorts International(2023年)
MGM Resortsは、2023年9月に大規模なサイバー攻撃を受け、業務およびサービスが中断されました。
攻撃グループとしては「Scattered Spider」が挙げられ、ボイスフィッシングなどの手口が使われたと報じられています。また、ID基盤まわりの悪用も指摘されています。
Grubhubのデータ侵害(2025年)
最近の有名なデータ侵害の中で、Grubhubの事件は多くの人々に影響を与えました。
2025年2月、Grubhubのデータ侵害により、Grubhubの顧客、大学構内の利用者、配達員、加盟店など、正確な人数は不明ですが影響を受けたことが発表されました。
この攻撃は、サードパーティのサービスプロバイダのアカウントが侵害されたことが原因で発生し、部分的な支払いカード情報などの重要な詳細が漏洩しました。
個人情報が侵害されたと通知を受けた人々には、補償が提供される可能性があります。
Finastra(2025年)
イギリスのフィンテック企業Finastraは、2024年10月31日から11月8日の間に発生したデータ侵害を報告しました。
許可されていない第三者が、同社のセキュア・ファイル・トランスファー・プラットフォーム(SFTP)にアクセスし、顧客の機微な情報が侵害されました。
Casio UK(2025年)
Casio UKのオンラインショップは、2025年1月14日から24日の間にクレジットカードおよび顧客情報を盗む悪意のあるスクリプトによってハッキングされました。
この期間中に購入を行った顧客は、クレジットカードデータやその他の情報をハッカーに盗まれた可能性があります。
この攻撃は、少なくとも17のEコマースサイトに影響を与えた大規模なキャンペーンの一部でした。
近年の主な傾向
これまでに示した過去の重大事例のデータ侵害やフィッシング攻撃の分析、ならびに公開情報を踏まえ、以下に主なパターンと傾向をまとめます。
- 数あるサイバー犯罪の中でも、フィッシングは最も広く行われている攻撃手法の一つです。
毎日、世界では約34億通のスパムメールが送信されており、Googleだけでも1日に約1億通のフィッシングメールをブロックしています。
- 盗まれた認証情報の悪用は、現在のデータ侵害において最も一般的な原因の一つです。
- 調査によると、ミレニアル世代やZ世代は、フィッシング攻撃の被害に遭いやすい傾向があるとされています。
- データ侵害による平均損害額は、400万ドル以上と推定されています。
- 近年、サードパーティのベンダーやサービスプロバイダーを標的とした攻撃が増加しています。
- 医療業界は、患者データの機微な性質ゆえに、サイバー犯罪者にとって依然として主要な標的です。
これらのサイバー攻撃から学ぶべき重要な教訓
現代のメールセキュリティ対策を採用する
脅威の変化に伴い、セキュリティ環境も進化させ、現在の課題に適した対策を取り入れることが重要です。
<<<<<<< HEAD
従来のメールセキュリティ対策ではなく、DMARCのような高度なメール認証技術を導入することで、メールセキュリティを大きく強化できます。
=======
従来のメールセキュリティ対策ではなく、DMARCのような高度なメール認証技術を導入することで、メールセキュリティを大きく強化できます。
>>>>>>> f0fb4b787f657bf9bf6566e709d10cf82fc898b9
DMARCは、メール認証プロトコルであり、自分のドメインから発信された不正なメールをどのように扱うかを制御するのに役立ちます。
認証に失敗したメールをブロックすることができ、大規模なデータ侵害やフィッシング被害を未然に防ぐことにつながります。
さらに、BIMIと呼ばれる、認証とメールブランディングを組み合わせた技術も登場しています。
BIMIは、送信メールにブランドロゴを添付できるようにし、ブランドの正当性を証明し、なりすましからの保護を実現します。
一部の組織では、シナリオ・プランニング・ソフトウェアを活用し、想定されるデータ侵害やフィッシング事案を事前にシミュレーションしています。
これにより、チームは対応手順を検討し、弱点を特定し、実際に事件が発生した場合でも、より良い準備ができます。
ソフトウェアの更新
スパイウェアやウイルス対策ソフトウェアを定期的に更新することは極めて重要です。
サイバー犯罪者は、セキュリティが古くなった脆弱なコンピュータネットワークを常に探しています。
定期的なチェックを行うことで、古いソフトウェアによる業務への悪影響を回避できます。
データの暗号化
データ暗号化は、貴重な情報への不正アクセスや抜き取りを防ぐのに役立ちます。
暗号化により、平文データは第三者には解読できない形式に変換されます。
サイバー犯罪者は、暗号キーがなければそれを解読できません。
定期的なデータのバックアップ
データバックアップシステムは、人為的ミス、停電、マルウェア攻撃など、さまざまな脅威から業務情報を保護するために非常に重要です。
これらのシステムは重要なデータのコピーを作成し、セキュリティ侵害やデータ損失が発生した際にも、その情報を利用できるようにします。
従業員の教育
近年の事例も含め多くのフィッシング攻撃やデータ侵害が成功してしまう背景には、従業員が十分な知識や訓練を受けていなかったことがあります。
定期的な従業員教育を実施することで、最新の脅威や動向に関する知識を維持し、将来のサイバーセキュリティリスクから身を守ることができます。
ファイアウォール
ファイアウォールは、ネットワークセキュリティにおける重要な構成要素であり、ネットワークへの出入りを制御する役割を担います。
ネットワークに出入りする通信(トラフィック)を監視・制御することで、サイバー脅威に対する第一線の防御となります。
これにより、正当なトラフィックは通過させつつ、不正または悪意のあるアクセスをブロックすることができます。
PowerDMARCによるフィッシング攻撃とデータ侵害から守る方法
PowerDMARCは、フィッシング攻撃やデータ侵害からビジネスを保護するための、包括的な機能を提供しています。
その内容を以下にて説明します。
- 包括的なメール認証機能
- DMARC、SPF、DKIM、MTA-STS、TLS-RPT、BIMIなどのメール認証技術を、ホスト型で一元的に提供しています。
- DMARCポリシーの適切な適用と管理
- PowerDMARCは、組織がDMARCポリシーを効果的に実装および管理できるよう支援します。 これにより、なりすましメールが受信者の受信トレイに届く前にブロックされます。
- 脅威インテリジェンスと監視
- PowerDMARCが提供するリアルタイムのメールトラフィック監視および分析により、フィッシング攻撃やその他のメールベースの脅威を検出し、迅速な対処につなげることができます。
- AIによる分析とインサイト
- PowerDMARCのプラットフォームは、人工知能を活用して、メールセキュリティの向上に役立つ実務に直結する分析結果や、改善に向けた具体的な提案を提供します。
- 簡易化されたコンプライアンス対応
- このプラットフォームはDMARCのコンプライアンスを簡素化し、短期間での適切な保護体制の構築を支援します。
- グローバルな対応力
- PowerDMARCは信頼性の高い24時間365日のサポートを提供しており、11以上の言語でダッシュボードやコンテンツが翻訳されているため、多言語対応と常時サポートにより、グローバルに展開する組織のサイバーセキュリティ対策を支援します。
結論
データ侵害やフィッシング攻撃は、AIの進化とともにますます巧妙化しており、企業に対して深刻な財務的・評判的損害を与える可能性が高まっています。
現在も、世界中の多くの組織においてセキュリティ上の不備や対策不足が見られます。
高度なメールフィルターが導入されていなかったり、従業員教育が定期的に行われていなかったり、メール認証プロトコルに十分な注意が払われていなかったりすることが一因です。
その影響の大きさは、過去の重大なセキュリティ侵害事例からも明らかであり、訴訟や多額の損失に発展するケースが少なくありません。
DMARCの導入は、受信メールが正当な送信者からのものか、それとも不正なものかを認証するのに役立ち、進化し続けるサイバー脅威への有効な対策となります。
しかし、DMARCの導入だけでは不十分であることにも留意する必要があります。
サイバーセキュリティは複雑な分野であり、より包括的なアプローチが求められます。
そのためには、従業員の意識向上、データ暗号化、ソフトウェアの定期的な更新に加え、DMARCだけでなくMTA-STSやBIMIといった他のメール認証技術の導入も重要です。