情報漏洩とは？原因と事例、対策

情報漏洩とは、機密性の高い情報、保護された情報、または秘密情報が本来の環境外に意図せずに露出することです。これは、内部の人為的なミス、ソフトウェアの脆弱性、不十分なデータセキュリティ対策など、さまざまな理由で発生します。情報漏洩は、個人情報、財務記録、企業秘密、その他の機密データを危険にさらす可能性があります。漏洩した情報はすぐに、さらなるデータ侵害を引き起こすために使用され、個人や組織にとって深刻な結果をもたらし、 風評被害、経済的な損失、法的な影響を引き起こします。

「情報漏洩」と「データ侵害」という用語はしばしば同じ意味で使われますが、情報漏洩は脆弱性を悪用する必要はありません。情報漏洩は、単に不十分なセキュリティポリシーやストレージの設定ミスによってデータが第三者に公開されることを意味します。ほとんどのシナリオでは、情報漏洩は偶発的であるのに対し、データ侵害は悪意があり意図的です。

それほど大切でないように思えるかもしれませんが、情報漏洩とデータ侵害の違いを理解することは重要です。どちらも費用がかかり、重大な結果をもたらす可能性がありますが、情報漏洩はデータ侵害よりもはるかに過失が関与しています。人為的なミスは組織にとって重大なリスクであり、情報漏洩は通常、内部脅威の結果であり、意図的ではないことが多いものの、データ侵害と同様に損害をもたらします。

予期しないリスクや未知のソフトウェア、ハードウェア、またはセキュリティインフラの脆弱性がデータ侵害を引き起こします。攻撃者が成功するためには、脆弱性を見つけて悪用する必要があるため、管理者は古くなったソフトウェアを常に更新し、セキュリティパッチや更新を直ちにインストールする必要があります。

情報漏洩はデータ侵害を引き起こしますが、未知の脆弱性を悪用する必要はありません。通常、情報漏洩の背後には人為的なミスがあります。情報漏洩の良い例として、誤って設定されたAmazon Web Services (AWS) S3バケットがあります。S3バケットは、ファイルやデータをアップロードするために使用されるクラウドストレージスペースです。これらは公開アクセス用に設定することも、認可されたユーザーのみがデータにアクセスできるようにロックすることもできます。管理者がアクセスを誤って設定し、データを第三者に公開してしまうことはよくあります。誤設定されたS3バケットは非常に一般的であり、一部のサイトでは誤設定されたS3バケットをスキャンして誰でも確認できるように公開しています。

これらの脆弱性に対処し、サイバーセキュリティ意識の文化を浸透させることで、組織は情報漏洩のリスクを大幅に減らすことができます。

• ファイルやデータベースに保存されている企業秘密や知的財産
• 非公開の独自ソースコード
• ユーザー名、パスワード、セキュリティ質問などの認証情報
• 顧客リスト、売上データ、その他の業務関連情報などのビジネスデータ
• ベンダーの価格設定を含む現在の製品および在庫状況

• 製品改良、特許、発明に使用される独自の研究データ
• 健康情報や財務情報を含む顧客の機密データ
• 社員の社会保障番号、財務情報、認証情報を含む社員データ
• 医療記録、保険情報、処方情報などの健康情報
• メール、チャットログ、その他の形式のプライベートな通信

• 個人識別情報 (PII): 名前、住所、社会保障番号などを含みます。犯罪者はこれらのデータを使用して、個人になりすまして詐欺を行ったり、クレジットを取得したり、他の財務的利益を得たりします。
• 財務情報: クレジットカードの詳細、銀行口座番号、その他の財務データは、不正取引の実行や資金の引き出し、さらにはダークウェブでの販売に使用されます。
• ログイン認証情報: 様々なアカウントのユーザー名とパスワードは、不正アクセスのために悪用されます。サイバー犯罪者は、複数のサイトにアクセスするために、パスワードを使い回すことを見越してクレデンシャルスタッフィングなどの手法を用います。

• 健康記録: 医療情報は非常に価値が高く、保険詐欺や処方詐欺に使用されたり、関心のある第三者に販売されたりします。
• 企業秘密および知的財産: 企業にとって、漏洩したデータは独自の情報を含む可能性があります。サイバー犯罪者はこれを競合他社に販売したり、企業スパイ活動に利用したりします。
• メールおよび個人通信: これらは恐喝や、さらに標的を絞った攻撃（スピアフィッシングキャンペーンなど）に利用される可能性があります。
• 運用データ: 組織の運用、ネットワーク構成、またはセキュリティ慣行に関する情報は、より高度なサイバー攻撃を促進するために使用される可能性があります。

デジタル環境が進化するにつれて、今日のサイバー犯罪者の動機や手法は絶えず変化しています。彼らが漏洩データを悪用する新たな方法を開発する中で、個人や組織はサイバーセキュリティ対策において常に警戒し、積極的に取り組む必要があります。

• データの監査と分類: 急成長する企業は、データやその保存場所を把握しきれなくなることがよくあります。データの所在を把握せずにアプリケーションやユーザーがデータを移動させると、全てのベースをカバーするのは困難です。データ分類は、従業員の権限乱用や不要なアクセスによる情報漏洩の可能性も明らかにします。
• 積極的な対策: リスク評価と管理は、リスクを特定し、追加のセキュリティ対策、ポリシー、および従業員トレーニングを必要とする緩和戦略を管理者に提供します。
• サードパーティのリスク評価: データにアクセスするサードパーティベンダーやパートナーのセキュリティ対策を評価します。情報漏洩を防ぐために、強力なセキュリティ対策を使用していることを確認します。
• アクセス制御の実施: 組織に適したアクセス制限と見直しを行います。役割ベースのアクセス制御を使用して、認可された人員のみが機密データにアクセスできるようにすることを検討します。
• 暗号化の使用: データ暗号化はデータを別のコードや形式に変換し、復号化キーやパスワードを持つ者だけがデータを読むことができます。情報漏洩が発生した場合でも、サイバー犯罪者が機密データを読めないようにすることができます。

• DLP（情報漏洩対策） ソフトウェアの導入: DLPソフトウェアはデータを継続的に監視および分析し、セキュリティポリシーの違反の可能性を特定します。適切なDLPソリューションは、ポリシー違反を特定するだけでなく、それを効果的に防止することができます。
• 価値と機密性に基づいたデータ保護: 重要でないデータの漏洩は理想的ではありませんが、機密データの漏洩ほどの損害はありません。監査とデータ発見の後、最も価値のあるデータに焦点を当てます。データ発見ソフトウェアは信頼性のある自動化されたコンテンツ分析を提供し、ネットワーク全体で情報を追跡するのに役立ちます。
• サイバーセキュリティトレーニングの提供: 教育は、フィッシングやソーシャルエンジニアリングによる人為的ミスの可能性を減らします。また、従業員がデータを適切に管理し、保護する方法を理解するのにも役立ちます。
• 監視: 適切な監視ツールを展開することで、管理者は異常をより早く特定し、脅威の封じ込めや排除においてより積極的になることができます。一部のツールは、設定ミスや潜在的な情報漏洩問題も特定します。
• ディザスタリカバリプランを持つ: バックアップを用いたディザスタリカバリは、破壊されたデータを復元します。復旧計画には、データ復旧に関与する人々と、影響を受けた顧客やニュース媒体と連絡を取るための多くのステップが含まれます。

• 従業員が職場からファイルを持ち帰る: 大企業がUSBドライブへのアクセスを制限することには理由があります。従業員はデータを保存し仕事を持ち帰って行うことが無害だと思うかもしれませんが、デバイスが紛失したり安全に保管されていなかったりすると、情報漏洩につながる可能性があります。
• 暗号化されていないデータの保存: 許可エラーや誤ってパブリックアクセス可能なクラウドストレージに転送された場合、ユーザーや攻撃者は暗号化されていないデータを取得する可能性があります。インスタントメッセージやメールで送信されたデータも暗号化されていない場合、脆弱です。
• パスワードの誤用: 従業員がパスワードを書き留めていたり、安全でない方法で保存したりすると、第三者に誤って公開される可能性があります。強力なパスワードは侵害やデータ損失を防ぐための鍵であり、パスワードに関する意識とベストプラクティスを従業員に教育することが非常に重要です。

• 古いソフトウェア: 開発者は既知の脆弱性を持つソフトウェアにパッチを当てますが、管理者はそれをインストールするためのイニシアチブを取る必要があります。セキュリティパッチは直ちにインストールされるべきであり、そうでない場合、攻撃者は脆弱なデータストレージシステムを悪用する可能性があります。
• ソフトウェアの設定ミス: ファイルやデータを保存するようソフトウェアが適切に設定されていない場合、管理者が気付かないうちにデータが公開される可能性があります。
• 開発サーバーの侵害: 開発環境はしばしば保護が緩くなっていますが、開発者はアクセスのために本番データを開発サーバーに複製します。それは無害に見えるかもしれませんが、開発者がサーバーや環境を設定する際にデータを公開する可能性があります。

• テキサス州保険局は2022年まで特定されなかった継続的な情報漏洩を経験しました。潜在的にアクセス可能な情報には、名前、住所、生年月日、電話番号、社会保障番号の一部または全部、傷害および労働者災害補償請求に関する情報が含まれていました。
• ペガサス航空の設定ミスによるデータベースが、オンライン上で個人データを含む2300万件のファイルを公開しました。このデータベースには、フライトチャート、ナビゲーション資料、フライトクルーに関する情報が含まれていました。この事件により、顧客の信頼が大きく失われ、規制当局から罰金を課されました。
• 退役軍人局は、従業員がデータを持ち帰った後に2600万件の社会保障番号や生年月日を含む機密データを紛失しました。

• アイダホ電力会社は、機密ファイルや機密情報を含む使用済みハードドライブをeBayで販売した後、情報漏洩の被害を受けました。
• ロヨラ大学のコンピューターは、学生の機密情報を含むハードドライブを消去せずに廃棄しました。その結果、社会保障番号や奨学金記録が公開されました。
• ノースダコタ大学の契約業者の車から数千件の名前、社会保障番号、クレジットカード情報を含むベンダーのノートパソコンが盗まれました。
• テキサス大学のソフトウェアエラーにより、12,000人の学生の名前、コース、および成績に不正アクセスが可能になりました。

誤設定や情報漏洩対策(DLP) のギャップを特定するには、これらの問題を監視しスキャンするスタッフが必要です。多くの組織は、災害に備える計画を立てたり、意図しない情報漏洩からデータを保護するインフラを構築したりするための人員が不足しています。Proofpointは、情報漏洩対策の設計から実施までを一貫してサポートします。当社の情報保護専門家が、データの分類、データ手順の自動化、規制要件の遵守、効果的なデータガバナンスを支えるインフラの構築をお手伝いします。

Proofpointは、組織外への機密情報の漏洩を防止するための包括的なDLPソリューションも提供しています。当社のDLP製品は、組織に固有の機密データを特定および分析し、データ流出の送信を検出し、規制遵守を自動化することを可能にします。

• エンタープライズDLPは、人を中心としたソリューションであり、コンテンツ、行動、および脅威に関するコンテキストを統合し、リスクの全体像を把握します。
• メールDLPは、機密データや機密情報を検出し、それがメールを通じて組織外に漏洩するのを防ぎます。
• エンドポイントDLPは、統合されたコンテンツ認識と行動および脅威認識を提供し、ユーザーの機密データとのやり取りに関する詳細な可視性を提供します。

これらのソリューションは、組織がデータの発見を簡素化し、迅速に評価してあらゆる問題に対応するのに役立ちます。詳細については、Proofpointにお気軽にお問い合わせください。