データ流出とは何か?原因・検知方法・防止策を解説
著者: Maitham Al Lawati
翻訳: 古川 綾乃
この記事はPowerDMARCのブログ記事 What Is Data Exfiltration? Detection and Prevention の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
主なポイント
- 攻撃者が狙う価値の高い情報には、PII(個人識別情報)、財務記録、知的財産、ログイン認証情報、顧客データベースなどがあります。
- 攻撃者は、マルウェア、フィッシング、内部不正利用、設定不備のあるクラウドストレージなどを利用してデータを盗み出します。
- データ流出を防止するには、DLPツール、アクセス制御、ネットワークセグメンテーション、エンドポイントセキュリティ、従業員トレーニングなど、多層的な防御が必要です。
2022年初め、サイバー犯罪グループ「Lapsus$」は、Samsungから約190GBに及ぶ内部ソースコードや機密データを流出させました。
これには、Galaxyスマートフォンのソフトウェアや、生体認証システム関連のコードも含まれていました。
ZscalerのAnnual ThreatLabz Reportによると、このようなインシデントは急増しており、データ流出量は過去1年間で92%増加しました。
これは、攻撃者がネットワーク内部に密かに侵入し、検知されないまま機密情報を持ち出すタイプの攻撃です。
企業にとって、その影響は深刻です。
財務上の損失、規制上の罰則、法的紛争、企業イメージの低下、さらには成長を支える知的財産の喪失につながる可能性があります。
こうした侵害は、被害が表面化するまで発見されないことも多いため、セキュリティ意識を高めることが重要です。
リーダーやチームが何が危険にさらされているのかを正しく理解するほど、重要な資産を守るための備えを強化できます。
データ流出とは何ですか?
データ流出とは、組織内部から外部へ、無断でデータを送信するサイバー攻撃手法です。
攻撃者は、知的財産、財務記録、研究データ、顧客情報などの機密情報を、不正に外部へ持ち出す目的でこの手法を用います。
多くの場合、従来型のセキュリティアラートを発生させることなく実行されます。
データ流出は、単にシステムへ侵入することではなく、機密情報を外部へ持ち出すことを目的とする点に特徴があります。
通常のWeb通信やDNSクエリなど、一見すると正規の通信に見えるトラフィックに、盗み出したデータを紛れ込ませることがよくあります。
このプロセスは、攻撃者が侵害後に手動でデータを探索・抽出する場合もあれば、マルウェアが継続的に情報を収集する自動型の場合もあります。
このように発見されにくい性質から、データ流出はAPT(Advanced Persistent Threat:高度持続的脅威)やその他の標的型攻撃における中核的な手法となっています。
これらの攻撃では、攻撃者は長期間にわたるアクセスを維持しながら、数週間から数か月かけて高価値情報を収集し、検知を回避します。
データ流出は、他のサイバー脅威と比べると、比較的イメージしやすい概念です。
データ漏洩は通常、設定不備のあるデータベースによって情報が公開されるなど、人為的ミスによって偶発的に発生します。
一方、データ侵害はより広い概念であり、認証情報の窃取、ランサムウェア、システム障害などを含みます。
データ流出は、最初から計画的に実行される点で、これらとは異なります。
一般的なデータ流出手法
サイバー攻撃者は、発見した弱点に応じて手法を使い分けます。
さらに、セキュリティツールを回避し、検知を逃れるために、複数の手法を組み合わせることもあります。
攻撃者がデータ流出に利用する代表的な手法には、次のようなものがあります。
マルウェアとトロイの木馬
多くのデータ流出キャンペーンは、攻撃者が侵害されたシステムへ直接アクセスできるように設計された悪意あるソフトウェアから始まります。
特に一般的なのは、RAT(Remote Access Trojan:リモートアクセス型トロイの木馬)、キーロガー、スパイウェアです。
RATは、攻撃者が感染したデバイスを、実際に端末を操作しているかのように遠隔操作できるようにします。
これにより、攻撃者は被害者に気付かれないようにファイルを閲覧し、データをコピーし、追加の悪意あるツールをインストールし、さらにはマイクやカメラを有効化することもできます。
キーロガーは、ログイン認証情報を含むキーボード入力を記録します。
一方、スパイウェアはバックグラウンドで密かに動作し、時間をかけて機密情報を収集します。
この手法が危険視される理由は、長期間にわたって潜伏でき、発見されにくい点にあります。
一度インストールされると、これらのプログラムは検知を回避しながら動作し、正規プロセスに紛れ込んだり、システムファイル内に隠れたりすることがよくあります。
フィッシング攻撃
フィッシングは、現在でも多くの侵害における代表的な侵入経路の1つです。
攻撃者は、正規のメールを装ったメールを送信し、受信者をだまして認証情報を入力させたり、マルウェアをダウンロードさせたりします。
ログイン情報を取得すると、攻撃者はそのユーザーとしてログインし、直接データを盗み出すことができます。
また、フィッシングメールを通じてRATやスパイウェアなどの不正プログラムが配布され、バックグラウンドでデータ流出が行われるケースもあります。
特に危険な亜種として、「スピアフィッシング」があります。
これは、経営幹部やIT管理者など、高いアクセス権限を持つ特定の人物を標的にする手法です。
この攻撃は、多数の手法を組み合わせた大規模攻撃の足がかりになることがよくあります。
内部脅威
システムやファイルへの正規アクセス権を持つ従業員、契約業者、その他の内部関係者も、セキュリティリスクとなる可能性があります。
場合によっては、内部関係者が個人的利益や組織への不満を理由に、意図的に機密ファイルをコピーすることがあります。
しかし、すべての内部脅威が悪意によるものとは限りません。
内部関係者が知らないうちに操作され、攻撃に加担させられるケースもあります。
例えば、攻撃者がITサポート担当者を装うソーシャルエンジニアリングによって、従業員が正規の指示だと思い込み、認証情報を提供したり、ファイルを転送したりする場合があります。
内部関係者はすでに有効なアクセス権を持っているため、その活動は通常の操作に見えてしまいます。
通常の勤務時間外におけるファイルアクセスや、大量データの転送など、異常な挙動を監視していなければ、こうした行動は容易に見逃されます。
設定ミスのあるクラウドストレージ
多くの企業がクラウドプラットフォームへ移行する中で、設定ミスのあるストレージサービスは、データ公開の一般的な原因にもなっています。
Amazon S3、Google Cloud Storage、Microsoft Azureなどのサービスは、柔軟で拡張性の高いデータ管理機能を提供しています。
しかし、設定ミスによって、機密ファイルがURLや保存先を知っていれば誰でもアクセスできる状態になることがあります。
攻撃者は、このような設定ミスを積極的にインターネット上で探しています。
設定不備のあるストレージを発見すると、システムへ侵入したりセキュリティ防御を突破したりすることなく、内容へ容易にアクセスし、ダウンロードできてしまいます。
こうしたインシデントの多くは、人的ミスやクラウド設定の複雑さにつけ込んで発生します。
場合によっては、攻撃者はクラウド設定ミスを他の手法と組み合わせます。
例えば、フィッシングによって盗まれた認証情報を使ってクラウドアカウントへアクセスし、不適切に設定された権限を利用して、大量の機密情報を一度に取得することがあります。
標的となるデータの種類
攻撃者は、無差別にデータを盗み出すわけではありません。
通常は、明確な価値があり、さらなる攻撃への悪用や利益目的での販売が可能な情報を狙います。
攻撃者が何を標的としているのかを理解することは、防止対策を講じるうえでも重要です。
主な標的となるデータ
最も一般的に標的となるデータには、次のようなものがあります。
- PII(個人識別情報)
- 氏名、住所、社会保障番号(Social Security Number)など、なりすましや詐欺に悪用される可能性がある情報。
- ログイン認証情報
- ユーザー名、パスワード、セッショントークン、APIキーなど、システムやサービスへ直接アクセスするための情報。
- 財務データ
- クレジットカード番号、銀行口座情報、取引ログなど、攻撃者が短期間で金銭化しやすい決済関連情報。
- 知的財産(IP)
- ソースコード、製品設計、研究文書、企業秘密など、競合他社や攻撃者に優位性を与える情報。
- 顧客データベース
- 連絡先情報、購入履歴、行動プロファイルなど、再販売や標的型詐欺に悪用できる情報。
- メールアーカイブ
- 内部業務に関する情報を含むメッセージ群であり、ビジネスメール詐欺(BEC)やソーシャルエンジニアリング攻撃に利用されやすい情報源。
- 医療記録
- 診療履歴や保険データなど、違法市場で高額取引され、詐欺に悪用される可能性がある情報。
- 運用データ
- 内部レポート、戦略文書、サプライヤー情報など、漏えいすると業務妨害や将来的な攻撃につながる可能性がある情報資産。
データ流出の兆候と指標
データ流出の兆候が見つかった時点では、攻撃者はすでに目的のデータを取得し、痕跡を消しているケースも少なくありません。
発見までの時間が長くなるほど、被害は深刻化します。
初期兆候を見逃さないことが、被害の封じ込めを成功させるか、大規模な侵害につながるかを左右します。
特に注意すべき兆候には、次のようなものがあります。
- 異常な送信トラフィックや、見慣れない送信先への大量データ転送
- 通常その時間帯に業務を行わないユーザーによる、深夜帯のファイルやシステムへのアクセス
- ファイアウォールやSIEM(Security Information and Event Management)のログにおける異常
例:ログイン失敗が繰り返された後に成功するアクセス - 通常はアクセス権を必要としない人物による、機密リソースへの頻繁なアクセス要求
- 許可されていないUSBデバイスやファイル共有アプリの使用
- ネットワーク外へ送信される暗号化トラフィックの急増
これは、隠蔽されたデータ転送を示している可能性があります。 - 突然の権限昇格
例:一般アカウントが突然管理者レベルの権限を取得するケース
防止および検知戦略
データ流出は、従来型のセキュリティ対策を回避することが少なくありません。
そのため、防御には多層的なアプローチが必要です。
ファイアウォールやアンチウイルスだけでは、十分な対策とはいえません。
適切な技術、厳格なポリシー、そしてユーザー教育を組み合わせる必要があります。
データ流出への強固な防御体制を構築するために、組織は次の点に重点的に取り組む必要があります。
データ損失防止(DLP)ツールの導入
攻撃者は、盗み出した情報を正規の通信に見せかけて送信する傾向があります。
そのため、DLP(Data Loss Prevention:データ損失防止)ツールを導入することで、メール、エンドポイント、ネットワークトラフィック、クラウドサービスを通過するデータを監視・検査できます。
DLPを活用することで、機密情報がどのように保存・共有されているかを継続的に可視化できます。
これらのツールは、事前定義されたルールに基づき、社会保障番号(Social Security Number)、クレジットカード情報、ソースコードなどの機密データを識別します。
機密データが検出された場合、DLPは転送をブロックしたり、ファイルを隔離したり、セキュリティチームへ警告を送信したりできます。
例えば、個人情報を含むメールがネットワーク外へ送信されるのを防いだり、許可されていないクラウドサービスへのファイルアップロードを検知したりできます。
このように、監視と制御を組み合わせることで、DLPはデータ流出の試みを被害発生前に検知・防止する役割を果たします。
ユーザーアクセス制御と監視
アクセス権を適切に制限することは、データ流出リスクを低減する最も直接的な方法の1つです。
最小権限の原則(PoLP:Principle of Least Privilege)は、ユーザーに対して業務上必要最小限の権限のみを付与するセキュリティ概念です。
例えば、従業員の業務に顧客記録へのアクセスは必要でも、財務データへのアクセスが不要な場合、そのアカウントは顧客データベースのみにアクセスできるよう設定されます。
これにより、機密情報への不要なアクセスを最小限に抑えられます。
また、役割や権限を定期的に監査することで、使用されていないアカウントや、必要以上に広いアクセス権を持つアカウントを特定できます。
さらに、多要素認証(MFA)を導入することで、アカウントセキュリティを強化できます。
これにより、攻撃者が盗んだ認証情報だけを利用してシステムへ侵入するリスクを軽減できます。
アクセスログの監視も重要です。
例えば、これまで利用実績のない機密サーバへ突然アクセスするなど、不自然な行動は悪意ある活動の初期兆候である可能性があります。
ネットワークセグメンテーション
ネットワークを機能やデータの機密性ごとに分離することで、攻撃者が侵入に成功した場合でも、移動できる範囲を制限できます。
すべてのシステムを相互接続した単一のフラットなネットワークで運用するのではなく、ネットワークセグメンテーションによって環境を管理されたゾーンへ分割します。
例えば、PII(個人識別情報)や独自研究データを保存するサーバを、一般従業員向けネットワークから分離できます。
これにより、フィッシング攻撃によって従業員の端末が侵害された場合でも、攻撃者が追加のセキュリティチェックを突破しない限り、重要システムへ容易に移動することはできません。
このアプローチは、攻撃者の行動を遅らせるだけでなく、セグメンテーション制御を回避しようとする過程で、より多くのアラートを発生させます。
追加される障壁が増えるほど、セキュリティチームによる検知と対応の可能性も高まります。
また、適切なネットワーク分離は、より詳細な監視にも役立ちます。
高価値ゾーンが分離されている場合、異常な通信パターンをより容易に発見できるため、セキュリティチームは迅速に対応できます。
従業員トレーニングとセキュリティ意識向上
従業員が気付かないうちに、攻撃者に侵入のきっかけを与えてしまう場合、技術だけですべての攻撃を防ぐことはできません。
人的ミスは、データ侵害やフィッシング攻撃おける主要な原因の1つです。
そのため、全従業員を対象とした体系的なセキュリティ教育が必要です。
セキュリティ意識の高い組織文化を構築することで、データ流出に対する能動的な防御層を追加できます。
トレーニングでは、日常業務で遭遇する脅威を認識し、適切に対応する方法を従業員へ教育する必要があります。
例えば、以下のような内容です。
- フィッシングメールや不審なリンクの見分け方
- 異常な活動をIT部門へ報告するタイミングと方法
- 安全なデータ取り扱い手順の遵守
また、継続的な教育も重要です。
短時間の定期トレーニングと実践的な演習を組み合わせることで、セキュリティ意識を維持しやすくなります。
従業員がリスクと自身の役割を正しく理解していれば、危険の兆候を早期に発見し、データ流出の試みを未然に防げる可能性が大幅に高まります。
エンドポイントセキュリティソリューション
ラップトップ、デスクトップ、モバイルデバイスなどのエンドポイントは、データ流出の主要な侵入経路の1つです。
Endpoint Detection and Response(EDR)ツールと次世代アンチウイルスを組み合わせることで、各デバイス上の活動を継続的に監視し、このリスクへ対応できます。
これらのツールを集中監視システムと連携させることで、組織全体での不審な挙動を把握しやすくなります。
その結果、単一デバイスでは見逃される可能性のある異常パターンも検出しやすくなります。
エンドポイントセキュリティは、データ流出ツールをデバイス上で直接ブロックできる点でも重要です。
例えば、マルウェアが暗号化通信を確立しようとしたり、盗んだデータを隠蔽するためにシステムプロセスを改ざんしようとした場合、EDRは即座に介入できます。
さらに、このデバイスレベルの防御をネットワーク監視と組み合わせることで、多層的な防御体制を構築できます。
その結果、攻撃者が検知されないまま組織外へデータを持ち出すことは、はるかに困難になります。
まとめ
データ流出は、近年増加している深刻なサイバー脅威の1つです。
その防止には、攻撃者が機密データへアクセスし、外部へ持ち出す経路を遮断することが重要です。
これにより、攻撃者が検知されないまま活動を続けることを困難にできます。
PowerDMARCは、高度な認証プロトコル、監視ツール、リアルタイム脅威インテリジェンスを通じて、この取り組みを支援します。
特に、攻撃者にとって主要な侵入経路であるメールチャネルの保護を強化できます。
この重要な通信経路を保護することで、組織はフィッシングを起点とした侵害リスクを低減し、機密データの流出防止につなげることができます。
サイバー犯罪者は、発見されにくい状態を維持しながら長期間活動することを狙っています。
しかし、適切な防御対策を講じることで、その侵入を防ぐことは可能です。
弊社のトライアルをご利用いただくことで、組織における主要なリスク要因の1つであるメールを、強固な防御ポイントへと強化できます。
よくある質問(FAQ)
- データ流出とデータ漏洩の違いは何ですか?
- データ流出とは、機密データを意図的かつ不正に外部へ持ち出す行為です。
一方、データ漏洩は、機密データが誤設定や人的ミスなどによって意図せず公開されることを意味します。 - データ流出リスクが最も高い業界はどれですか?
- 金融、医療、テクノロジー、政府機関、製造業など、高価値かつ機密性の高い情報を扱う業界は、特に標的になりやすい傾向があります。
- データ流出リスクに対応する主な規制には何がありますか?
- 代表的な規制には、以下があります。
- GDPR(General Data Protection Regulation)
- HIPAA(Health Insurance Portability and Accountability Act)
- PCI DSS(Payment Card Industry Data Security Standard)