更新日:2024年5月24日
寄稿者: Matthew Kosinski
データ漏洩とは、個人データ(社会保障番号、銀行口座番号、医療データ)や企業データ(顧客データ記録、知的財産、財務情報)を含む個人情報や機密情報に、権限のない第三者がアクセスするセキュリティ事故を指しています。
「データ侵害」および「侵害」という用語は、多くの場合、「サイバー攻撃」と同じ意味で使用されます。しかし、すべてのサイバー攻撃がデータ侵害であるわけではありません。データ侵害には、誰かがデータに不正にアクセスするセキュリティー侵害のみが含まれます。
そのため、例えばウェブサイトを圧倒する分散型サービス妨害(DDoS)攻撃は、データ侵害ではありません。企業の顧客データにアクセスできないようにし、身代金を支払わなければ漏洩させると脅迫するランサムウェア攻撃に該当します。ハード・ドライブ、USBフラッシュ・ドライブ、さらには機密情報が含まれる紙ファイルの物理的な盗難もデータ侵害です。
最新のデータ侵害コストレポートを使用して、データ侵害のリスクをより適切に管理するためのインサイトを入手します。
IBMの2023年版データ侵害のコストに関する調査報告書によると、データ侵害の世界における平均損害額は445万米ドルです。あらゆる規模や種類の組織が侵害に対して脆弱ですが、侵害の重大度や修復にかかるコストはさまざまです。
例えば、米国でのデータ侵害の平均コストは948万米ドルで、インドでの侵害の平均コスト(218万米ドル)の4倍以上となっています。
医療、金融、公共部門など、規制が厳しい分野の組織では、違反の結果が特に深刻になる傾向があり、高額の罰金や罰則によりコストが増大する可能性があります。例えば、IBM のレポートによると、医療データ侵害の平均コストは 1,093万米ドルで、これはすべての侵害の平均コストの2倍以上に上ります。
データ侵害のコストはいくつかの要因から生じますが、IBMのレポートでは、ビジネス損失、検知と封じ込め、侵害後の対応と通知という4つの主要な要因が指摘されています。
侵害によって生じる事業、収益、顧客の損失は、平均で130万米ドルとなっています。侵害を検知して封じ込めるための費用はさらに高く、158万米ドルにもなります侵害後の費用(罰金、和解金、訴訟費用、影響を受けた顧客への無料信用監視の提供など)は、侵害の被害者に平均120万米ドルの負担がかかります。
顧客、規制当局、その他の第三者への違反報告を含む通知コストは、37万米ドルと負担事態は最も低いものながら、報告義務は依然として厳しく、時間のかかるものであることは注意に値します。
2022年米国重要インフラ向けサイバーインシデント報告法(CIRCIA)は、国家安全保障、金融、その他の指定業種の組織に対し、個人データまたは事業運営のいずれかに影響を及ぼすサイバーセキュリティインシデントを72時間以内に国土安全保障省に報告することを義務付けています。
医療保険の相互運用性と説明責任に関する法律(HIPPA)の対象となる米国の組織は、保護された医療情報が漏洩した場合、米国保健社会福祉省、影響を受ける個人、および場合によっては、メディアに通知しなければなりません。
米国の50州すべてに独自のデータ侵害通知法があります。
一般データ保護規則(GDPR)は、EU 国民と取引する企業に対し、違反を 72 時間以内に当局に通知することを義務付けています。
X-Force Threat Intelligenceインデックスに登録する
データ漏えいの原因は次のとおりです。
従業員が機密情報を間違った相手に電子メールで送信するなど、悪意のない間違い。
会社に損害を与えようとする怒っている従業員や解雇された従業員、会社のデータから利益を得ようとする貪欲な従業員など、悪意のある内部関係者。
ハッカーとは、データを盗むために意図的なサイバー犯罪を犯す悪意のある部外者です。ハッカーは、単独のオペレーターとして行動することも、組織化された組織の一員として行動することもあります。
悪意のあるデータ侵害のほとんどの主な動機は金銭的利益です。ハッカーは個人や企業から直接資金を奪うために、クレジットカード番号、銀行口座、その他の金融情報を盗みます。
攻撃者の中には、社会保障番号や電話番号など個人を特定できる情報(PII)を盗んで被害者本人になりすまし、被害者名義でローンを組んだりクレジットカードを作ったりする者もいます。サイバー犯罪者は、盗んだ個人情報や口座情報をダークウェブで販売する場合もあり、そこでは銀行のログイン情報に対して500米ドルもの値がつくこともあります。1
データ漏洩は、より大規模な攻撃の第一段階となることもあります。例えば、ハッカーは企業幹部のメール・アカウントのパスワードを盗み、そのアカウントを使用してビジネス・メール詐欺を実行する可能性があります。
データ侵害には、個人的な利益を得る以外の目的がある場合があります。悪質な組織が競合他社から企業秘密を盗んだり、国家機関が政府のシステムに侵入して機密の政治取引、軍事作戦、国家インフラに関する情報を盗んだりする可能性があります。
一部の侵害は完全に破壊的なもので、ハッカーが機密データにアクセスしてそれを破壊したり改ざんしたりすることもあります。データ侵害コスト・レポートによると、このような破壊的な攻撃は悪意のある侵害全体の25%を占めています。こうした攻撃は、組織に損害を与えようとする国家レベルの攻撃者やハクティビスト集団によるものであることが多くなっています。
内部または外部の 攻撃者 によって引き起こされる意図的なデータ侵害は、以下のような同じ基本パターンに従って実行されます。
- 調査:脅威アクターはターゲットを特定し、ターゲットのシステムに侵入するために使用できる弱点を探します。これらの弱点は、不十分なセキュリティー・コントロールなどの技術的なものや、ソーシャル・エンジニアリングの影響を受けやすい従業員などの人的なものである可能性があります。
- 攻撃:脅威アクターは、選択した方法を使用してターゲットへの攻撃を開始します。攻撃者は、スピア・フィッシング・メールを送信したり、システムの脆弱性を直接悪用したり、盗んだログイン認証情報を使用してアカウントを乗っ取ったり、その他の一般的なデータ侵害攻撃経路を利用したりする可能性があります。
- データの侵害:システム内で、攻撃者は必要なデータを探し出し、目的の行動を実行します。一般的な戦術には、販売または使用のためにデータを盗み出す、データを破壊する、身代金を要求するためにデータをロックするなどがあります。
悪意のある攻撃者は、さまざまな攻撃経路または手法を使用してデータ侵害を実行する可能性があります。最も一般的なものは次のとおりです。
データ侵害コスト・レポート2023年によると、認証情報の盗難や侵害は、2番目に多い初期攻撃経路として、データ侵害全体の15%を占めています。
ハッカーは、ブルートフォース攻撃を使用してパスワードを解読したり、ダークウェブから盗まれた認証情報を購入したり、ソーシャル・エンジニアリング攻撃を通じて従業員をだましてパスワードを明かさせたりすることで、認証情報を侵害する可能性があります。
ソーシャル・エンジニアリング攻撃とは、人々を心理的に操作して、無意識のうちに彼ら自身の情報セキュリティーを危険にさらさせる行為です。
最も一般的なソーシャル・エンジニアリング攻撃であるフィッシングは、最も一般的なデータ侵害攻撃経路でもあり、侵害全体の16%を占めています。フィッシング詐欺では、偽の電子メール、テキスト・メッセージ、ソーシャル・メディア・コンテンツ、またはWebサイトを使用して、ユーザーを騙して認証情報を共有させたり、マルウェアをダウンロードさせたりします。
ランサムウェアは、被害者が身代金を支払うまでデータを人質に取るマルウェアの一種で、データ侵害のコスト・レポートによると、悪質な侵害の24%に関連しています。また、これらの侵害コストは高額になる傾向にあり、平均で513万米ドルの費用がかかっています。この数字には、数千万ドルに達する可能性がある身代金の支払いは含まれていません。
サイバー犯罪者は、Webサイト、オペレーティング・システム、エンドポイント、API、Microsoft Office などの一般的なソフトウェアやその他の IT 資産の脆弱性を悪用して、ターゲット・ネットワークにアクセスできます。
脅威の攻撃者はターゲットを直接攻撃する必要はありません。サプライチェーン攻撃では、ハッカーは企業のサービスプロバイダーやベンダーのネットワークの脆弱性を悪用してデータを盗みます。
ハッカーは脆弱性を見つけると、それを悪用してネットワークにマルウェアを仕掛けることがよくあります。スパイウェアは、被害者のキー入力やその他の機密データを記録し、それをハッカーが管理するサーバーに送り返すもので、データ侵害でよく使われるタイプのマルウェアです。
ターゲット・システムに直接侵入するもう 1 つの方法は、セキュリティー保護されていないWebサイトのSQL(構造化クエリー言語)データベースの脆弱性を利用するSQLインジェクションです。
ハッカーは、検索バーやログイン・ウィンドウなどのユーザー向けのフィールドに悪意のあるコードを仕込みます。このコードにより、データベースからクレジットカード番号や顧客の個人情報などの個人データが漏洩することになります。
脅威の攻撃者は従業員のミスを利用して機密情報にアクセスする可能性があります。
例えば、誤って構成されたシステムや古いシステムでは、権限のない者がアクセスできないデータにアクセスできてしまう可能性があります。従業員は、データを安全でない場所に保存したり、ハードドライブに機密情報が保存されているデバイスを置き忘れたり、ネットワーク・ユーザーに誤って過剰なアクセス権限を与えたりすることで、データを公開する可能性があります。サイバー犯罪者は、一時的なシステム停止などの IT 障害を利用して、機密データベースに侵入する可能性があります。
データ侵害コスト・レポートによると、クラウドの構成ミスが侵害全体の11%を占めています。既知の未修正の脆弱性が侵害全体の6%を占めています。デバイスの紛失や盗難など、偶発的なデータ損失も同じように6%を占めています。全体として、これらのエラーは侵害全体のほぼ4分の1の原因となっています。
脅威の攻撃者は、会社のオフィスに侵入し、従業員のデバイス、紙の文書、機密データを含む物理ハード・ドライブを盗む可能性があります。攻撃者は、物理的なクレジット・カードやデビット・カードのリーダーにスキミング・デバイスを設置して、支払いカード情報を収集することもあります。
2007年に小売業者であるTJ Maxx社やMarshalls社の親会社であるTJX Corporation社で発生したデータ侵害は、当時として米国史上規模が最も大きく、最も損害額の大きい消費者データ侵害イベントでした。9400万件もの顧客記録が漏洩し、同社は2億5600万米ドル以上の被害を被りました。
ハッカーは2つの店舗の無線ネットワークにトラフィック・スニファーを仕掛けてデータにアクセスしました。具体的には、スニファーにより店舗のレジからバックエンド・システムに送信される情報をキャプチャしました。
2013年、Yahoo社は史上最大のデータ侵害に見舞われました。ハッカーは同社のクッキー・システムにおける脆弱性を悪用し、Yahooを使用する全ユーザー30億人の名前、生年月日、電子メールアドレス、パスワードに不正にアクセスしました。
侵害の全容は、米国の通信会社であるVerizon社が同社の買収交渉を行っていた2016年に明らかになりました。その結果、Verizon社は3億5,000万米ドル値引きした買収金額を提案しました。
2017年、ハッカーは信用調査機関Equifax社に侵入し、1億4300万人以上の米国の個人データに不正にアクセスしました。
ハッカーらは、Equifax社のWebサイトの未修正の脆弱性を悪用してネットワークにアクセスしました。その後、ハッカーたちは他のサーバーに横移動し、社会保障番号、運転免許証番号、クレジットカード番号を入手し、この攻撃により、Equifax社は和解金、罰金、侵害の修復に関連するその他の費用を含めて14億米ドル支払いました。
2020年、ロシアの脅威アクターはソフトウェア・ベンダーのSolarWinds社をハッキングしてサプライチェーンを攻撃しました。ハッカーたちは、組織のネットワーク監視プラットフォームである「Orion」を使用して、SolarWinds社の顧客にマルウェアを密かに仕込みました。
ロシアのスパイは、SolarWinds社のサービスを利用している財務省、司法省、国務省など、さまざまな米国政府機関の機密情報にアクセスしました。
2021年には、ハッカーが米国の大手パイプライン会社であるColonial Pipeline社のシステムをランサムウェアに感染させ、同社は米国東海岸の燃料の45%を供給するパイプラインを一時的に閉鎖せざるを得なくなりました。
ハッカーはダークウェブで見つけた従業員のパスワードを使ってネットワークに侵入しました。Colonial Pipeline社は440万米ドルの身代金を暗号通貨で支払ったものの、連邦法執行機関はその支払いのうち約230万米ドルを回収しました。
2023年の秋には、ハッカーは個人ゲノム解析およびバイオテクノロジーを提供する米企業23andMe社の690万人のユーザー情報を盗みました。この侵害は、いくつかの理由で注目に値します。まず、23andMe社は遺伝子検査を実施しているため、攻撃者は家系図やDNAデータなど、従来にない、極めて個人的な情報を入手しました。
第二に、ハッカーは「クレデンシャル・スタッフィング」と呼ばれる手法でユーザー・アカウントに侵入しました。この種の攻撃では、ハッカーは他のソースからの過去の漏洩で公開された認証情報を使用して、異なるプラットフォーム上のユーザーの無関係なアカウントに侵入します。これらの攻撃が成功するのは、多くの人が複数のサイト間で同じユーザー名とパスワードの組み合わせを使い回しているためです。
データ侵害コスト・レポートによると、組織がアクティブな侵害を特定して封じ込めるまでに、平均で277日かかっています。適切なセキュリティー・ソリューションを導入することで、組織はこうした侵害をより迅速に検知し、対応できるようになります。
定期的な脆弱性評価、定期的なバックアップ、タイムリーなパッチ適用、適切なデータベース構成などの標準的な対策は、一部の侵害を防ぎ、侵害が発生した場合の被害を最小限に抑えるのに役立ちます。
しかし、今日では多くの組織が、より多くの侵害を阻止し、侵害によって生じる損害を最小限に抑えるために、より高度な制御とベスト・プラクティスを講じています。
組織は、専用のデータ・セキュリティー・ソリューションをデプロイして、機密データを自動的に検知して分類した上で暗号化やその他の保護を適用することで、データの使用状況をリアルタイムで把握できます。
組織は、サイバー脅威を検知、封じ込め、根絶するための正式なインシデント対応計画を採用することで、侵害による被害を軽減できます。データ侵害コスト・レポートによると、定期的にテストされたインシデント対応計画と専用の対応チームを持つ組織では、侵害の封じ込めにかかる時間が平均54日短縮されたことが明らかになっています。
ソーシャル・エンジニアリング攻撃とフィッシング攻撃は侵害の主な原因であるため、従業員がこれらの攻撃を認識して回避できるようにトレーニングすることで、企業のデータ侵害のリスクを軽減できます。さらに、データを適切に扱うよう従業員をトレーニングすることで、偶発的なデータ侵害やデータ漏洩を防ぐこともできるでしょう。
パスワード・マネージャー、2要素認証(2FA)または多要素認証(MFA)、シングル・サインオン(SSO)、その他のID およびアクセス管理(IAM)ツールを使用すると、従業員のアカウントと認証情報を盗難から保護できます。
組織は、役割ベースのアクセス制御と最小権限の原則を適用して、従業員のアクセスを役割に必要なデータのみに制限することもできます。こうしたポリシーは、内部脅威と、アカウントを乗っ取る外部ハッカーの侵入の両方を阻止するのに役立ちます。
ハイブリッドクラウド全体でデータを保護し、コンプライアンス要件を簡素化します
データ・プライバシー保護を強化し、お客様の信頼を築き、ビジネスの成長を促進します。
組織のインシデント対応プログラムを改善し、侵害の影響を最小限に抑え、サイバーセキュリティー・インシデントへの迅速な対応を実現します。
脚注
1ハッカーはデータを盗んでいくら儲けているのか? (リンクはibm.com外にあります)ナスダック2023年10月16日