データ侵害とは？原因と対策

データ侵害は、データが盗まれたり、許可されていない第三者に公開されたりすることで発生します。データ侵害は、コンプライアンス違反による高額な罰金、訴訟、長期的なブランド毀損など、企業にとって深刻な結果をもたらします。攻撃者が脆弱性を悪用し、フィッシングを行い認証情報を盗んだり、あるいは内部脅威により、組織はデータ侵害の犠牲者となります。

どのようなデータでも侵害される可能性がありますが、攻撃者は金銭的価値のあるデータを求めています。財務データは、単なる名前やメールアドレスよりもはるかに価値があります。しかし、財務データと個人情報を組み合わせることで、十分な量の情報があれば、攻撃者は数百万ドルを手にすることができます。

組織を狙う攻撃者は、最も価値のある情報を手に入れるために、可能な限り多くのデータを漏洩させます。データの種類によって、データ侵害による金銭的な利益が決まります。例えば、少なくとも2000ドルを含む銀行口座の認証情報は1つ120ドルの価値がありますが、残高のないPayPalのアカウントの認証情報は1つ14ドルの価値しかありません。（出典: Dark Web Price Index 2021）

• 脆弱なパスワード: パスワードが暗号化されていても、非推奨の暗号や辞書攻撃に弱いパスワードは、次の脅威で利用される可能性があります。
• 盗まれた認証情報: フィッシング、スピアフィッシング、ホエールフィッシングは、ユーザーを標的にして、認証情報やその他の機密情報を盗み出します。
• 侵害された資産: 認証情報へのアクセス、マルウェアの展開、不正アクセスを提供するアプリケーションの悪用により、攻撃者はデータを静かに流出させることができます。

• クレジットカードの不正使用: スキマーやフィッシングにより、クレジットカード情報が盗み出される可能性があります。
• 第三者による認証とアクセス: ベンダーや外部委託先などのサードパーティを経由したアクセスは、攻撃者の戦略の一つです。
• モバイル機器: モバイルデバイスは、ローカルネットワークやデータへのゲートウェイとなり得るため、エンドポイントセキュリティはこれまで以上に重要です。

他の攻撃と異なり、データ侵害は単純なパッチやソフトウェアの更新で改善することはできません。通常は、ネットワークにサイバーセキュリティのインフラを追加する取り組みを行うきっかけとなりますが、それでも被害は発生します。データ侵害後のインシデント対応では、インシデント対応と封じ込め、根絶、根本原因の分析、開示されたデータの特定、影響を受けた顧客、コンプライアンスへの懸念、影響を受けた顧客とのコミュニケーションなどのディザスタリカバリ作業を直ちに行う必要があります。

データ侵害の深刻さは、焦点を当てたターゲットによって異なります。データ侵害は、個人にとっても壊滅的なことですが、組織にとっては数百万ドルの損失をもたらし、長期的な収益に悪影響を及ぼします。データ侵害の影響を受ける主な事業体は次の3つです。

• 企業: データ侵害の被害に遭った組織は、訴訟や賠償金で損失を被る可能性がありますが、それ以上に大きなダメージを受けるのは、ブランドの評判です。Target、Equifax、Yahooは、データ侵害でよく知られており、消費者の信頼を失い、ブランドへのダメージにより、被害額が数百万ドルに及んでいます。
• 政府機関: 攻撃者が政府のインフラを侵害した場合、軍事、政府の企業秘密、潜入捜査官が危険にさらされます。
• 個人: 個人にとって、最も大きな金銭的リスクは個人情報の盗難です。個人情報は、ダークネットマーケットで販売されたり、クレジットラインの申し込みや商品の購入、不正な口座の開設に直ちに使用される可能性があります。

データ侵害というと、ハッカーがネットワークを侵害し、データを盗むことを思い浮かべる人が多いのではないでしょうか。しかし、データ侵害はいくつかの異なる行為によって引き起こされることがあります。例えば、データ侵害の最も大きな要因のひとつにヒューマンエラーがあります。

以下に、データ侵害の種類をいくつかご紹介します。

• ソースコードに保存された認証情報: 開発者は、コードリポジトリに認証情報やアクセスキーを残してしまうというよくある間違いを犯します。攻撃者は、GitHub上の公開リポジトリを検索して、これらを見つけます。
• 認証・認可システムの悪用: アプリケーションに脆弱性がある場合や、サイバーセキュリティのインフラにバグがある場合、攻撃者が不正にアクセスできます。
• 盗聴: ネットワーク上の暗号化されていないトラフィックは、傍受・盗聴される可能性があります。
• ヒューマンエラー: 過失や不満を持つ従業員によって、フィッシングやソーシャルエンジニアリングに引っかかり、故意または過失でデータが開示される可能性があります。
• ハッキング: 攻撃者がユーザーのデバイスにアクセスしたり、内部インフラを侵害したりした場合、マルウェアをインストールしてデータを盗むことが可能です。
• インサイダーの脅威: 現職の従業員や退職した従業員が、金銭的な利益を得るために意図的にデータを第三者に送信したり、データを盗み出したりする可能性があります。
• 物理的な脅威: ローカルリソース、ユーザーデバイス、業務用ノートパソコン、その他の物理的なアセットが盗まれた場合、組織はデータ盗難の危険にさらされる可能性があります。

攻撃者は、いくつかの方法を用いてネットワークを侵害し、データを盗みます。サイバーセキュリティのインフラと戦略が必要な主な理由は、攻撃者が使用する悪意のある手口にあります。これらの悪意のある戦略は、攻撃者の焦点と目標に基づいて変化します。

悪質な手口としてよく知られているのは、以下のような方法です。

• フィッシング: フィッシングには、ホエールフィッシングやスピアフィッシングなどのサブ戦略があります。大規模な情報漏洩事件の多くは、従業員をターゲットにしたフィッシングメールから始まり、従業員を騙して認証情報を漏洩させるというものです。
• ブルートフォース: 攻撃者が暗号化されたデータにアクセスしたり、無制限に認証を試みたりした場合、組織はブルートフォース攻撃に対して脆弱になる可能性があります。このような攻撃は通常自動化されており、適切なサイバーセキュリティのインフラがあれば検出することができます。
• マルウェア: この手口には、ランサムウェア、ウイルス、ルートキット、トロイの木馬、スパイウェア、キーロガー、ボットなど、悪意のあるアプリケーションが広範にわたって含まれています。

データ侵害は非常に収益性が高いため、攻撃者は個人を特定できる情報（PII）を探し求めます。小規模な組織は、自分たちは標的にならないと考えがちですが、効果的なサイバーセキュリティのインフラを持つ大企業よりも大きな標的になる可能性があります。中小企業はサイバーセキュリティを優先すべきです。優先しなければ、大規模なデータ侵害の次の犠牲者になるかもしれません。

データ侵害は、以下のようなことから起こり得ます。

• システムの脆弱性: 古いソフトウェアは、攻撃者が脆弱性を悪用してデータにアクセスすることを可能にする主要なミスの一つです。
• 脆弱なユーザーパスワード: よくあるフレーズや個人情報を使ったパスワード、ブルートフォースアタックに弱い構造のパスワードは、不正アクセスを許す可能性があります。
• ドライブバイダウンロード: インターネットに自由にアクセスできるユーザーが、脆弱なブラウザやオペレーティングシステムで不正なページにアクセスし、誤ってマルウェアをインストールしてしまう可能性があります。
• 標的型攻撃: 攻撃者は、メールやソーシャルエンジニアリングを利用して、ユーザーを騙し、不正なコードを含むファイルを開かせたり、不正なWebサイトからマルウェアをダウンロードさせたりします。

サイバーセキュリティのインシデントは何年も前から増加していますが、新型コロナウイルス感染症の影響を受け、多くの企業が在宅勤務を導入したことから、インシデントが急増しました。組織は、ビジネスの生産性のあらゆる面でリモートワーカーを利用することを余儀なくされ、この現象はデータ侵害の増加につながりました。ユーザーは個人所有のデバイスにデータを保存し、組織はクラウドリソースとVPNでアクセス可能な内部インフラを開放しました。

最新のデータ侵害統計の多くはパンデミックによるものですが、ここではサイバーセキュリティとビジネスにインパクトを与えた最近の統計をいくつかご紹介します。

• 新型コロナウイルス感染症によるリモートワーカーによって、データ侵害のコストは1件あたり137,000ドル増加しました。
• IBMの調査では、76％の組織が、リモートワーカーによって脅威の特定と封じ込めに必要な時間が増加したと回答しています。
• 専門家の間では、新型コロナウイルスに関連する既知の攻撃は192,000件とされており、その数は増え続けています。
• 患者情報を標的としたヘルスケア関連の攻撃は58％増加しました。
• Webアプリケーションのエクスプロイトと侵害は2019年から倍増し、攻撃の43％を占めています。
• 米国政府が中小企業を支援するために提供した融資は、データ侵害によって8000の中小企業に影響を与えました。
• Symantecの推定では、毎月4800のWebサイトがクリックジャッキングによって侵害されています。
• Verizonは、データ侵害の71％が金銭的な動機によるものであると推定しています。
• 2019年のデータ侵害の36％は組織的なサイバー犯罪者によるものでした。
• 脅威を封じ込めるには平均80日かかります。
• 医療機関は脅威の封じ込めに最も苦戦し、封じ込めまでに平均329日を要しました。
• 悪意のある添付ファイルの48％がMicrosoft Officeに保管されています。
• 全世界のデータ侵害の平均コストは386万ドルです。
• データ侵害後に最も高いコストを支払うのは医療業界で、1件あたり713万ドルです。
• データ侵害で発生するコストのほとんどは、事件発生から1年後に発生しています。
• 金融機関のカスタマーサービス担当者は、1,100万件の記録にアクセスできるため、ソーシャルエンジニアリングやフィッシングのリスクにさらされています。
• データ侵害の80％は、ブルートフォースパスワード攻撃または盗まれた認証情報によるものです。
• 2020年、分散型サービス妨害（DDoS）攻撃は278％以上増加しました。

データ侵害のコストは、主に在宅勤務者の増加により、昨年大幅に上昇しました。2015年、データ侵害のコストは平均380万ドルでした。現在では、データ侵害のコストは1480万ドルにも上ります。

Proofpointがデータ侵害に関連するコストを調査したところ、初期コストの後に長期的な付随コストが続く可能性があることがわかりました。インシデントレスポンス担当者やその他の従業員がダウンタイムによって失った生産性は、データ侵害の対処に費やされた推定63,343時間に相当します。

メールは攻撃の一般的な方法であり、侵害された場合、大企業では年間600万ドルの損害を被ります。メールやソーシャルエンジニアリングを利用して従業員を騙し、不正な請求書や送金で推定117万ドルを支払わせる攻撃もあります。

ランサムウェアは進化を続けており、組織を無力化させる可能性があります。これらの攻撃の多くは、メールメッセージから始まります。身代金を支払う組織もありますが、年間566万ドルの支出のうち、身代金の支払いによるものは79万ドルに過ぎません。

組織がデータ侵害を解決するための平均コストは807,506ドルで、2015年の338,098ドルから劇的に増加しています。フィッシングによるクレデンシャル盗難が、これらのコストの多くを占めています。全体として、マルウェアとデータ流出のコストは推定1億3700万ドルです。

サイバーインシデントは日々発生していますが、その中でも特に目立つものがあります。数百万件の記録が含まれるデータ侵害は、消費者や対象となる企業に最も大きな影響を与えます。

ここでは、最近の大規模なデータ侵害をいくつかご紹介します。

• ある旅行予約サイトが、クラウドストレージの設定ミスにより、国民ID番号、クレジットカード情報、フルネーム、メールアドレスなど、ホテルの宿泊客情報を含む1000万件のデータを開示しました。
• あるエンターテインメント＆テクノロジー企業が、5GBのデータを誤ってアップロードし、OAuthの悪用により140万人のスタッフおよびユーザー情報を開示しました。
• フランスのある新聞社が、信頼できるベンダーのクラウドストレージサーバーからデータを漏洩させ、従業員と購読者のデータを含む74億件のデータを開示しました。

ヒューマンエラーを含むあらゆる脅威を考慮することは、フルタイムの仕事であり、中小企業にとっては困難なことですが、組織は攻撃を阻止するために、特定の基準に従い、一般的な戦略をとることが可能です。たった１つの弱点がデータ侵害につながるので、戦略はスタッフのサイバーセキュリティのトレーニングや教育など、組織のあらゆる側面を強化する必要があります。

侵害からデータを守るためのベストプラクティスをいくつかご紹介します。

• 常に最新版のソフトウェア、特にセキュリティパッチをインストールする。
• ネットワークトラフィックとストレージには、暗号学的に安全な暗号を使用する。
• デバイスを最新のオペレーティングシステムにアップグレードする。
• ユーザーが自分のデバイスを持ち込むことを許可されている場合、ポリシーを適用する。
• パスワードポリシーを使用して、パスワードの長さと複雑さを強制する。
• フィッシング、ソーシャルエンジニアリング、その他の攻撃に対する警告サインを従業員に教育する。

サイバー保険は、ウイルスやサービス妨害（DoS）などのインシデント発生後の金銭的な損害をカバーすることで、コストを相殺することができます。最良のサイバーセキュリティインフラを導入していても、組織が100％リスクを回避できるわけではありません。サイバーセキュリティ保険は、インシデント発生後の費用、特に組織が失われたデータに対して責任を負う場合の支払いに役立ちます。例えば、医療機関は個人を特定できる情報（PII）を紛失した場合、多額の罰金を科せられることがあります。

保険契約は保険会社によって異なるため、企業は契約前に条件を確認する必要があります。例えば、保険会社は、組織が保険に加入するために、コンプライアンスを遵守し、特定のサイバーセキュリティインフラを導入していることを要求する場合があります。

Proofpoint は、お客様の組織特有の要件に合った数多くのサイバーセキュリティ戦略およびプランを提供しています。最新のコンプライアンス要件に対応するため、または従業員のセキュリティ意識向上トレーニングを開催するためなど、Proofpointは、マルウェア、攻撃者、企業スパイ、ランサムウェア、フィッシング、およびデジタル資産に関連する多くのリスクからお客様のデータを確実に保護します。