データ漏洩とは、個人データ(社会保障番号、銀行口座番号、医療データ)や企業データ(顧客データ記録、知的財産、財務情報)を含む個人情報や機密情報に、権限のない第三者がアクセスするセキュリティー事故を指しています。
「データ侵害」および「侵害」という用語は、多くの場合、「サイバー攻撃」と同じ意味で使用されます。しかし、すべてのサイバー攻撃がデータ侵害であるわけではありません。データ侵害には、誰かがデータに不正にアクセスするセキュリティー侵害のみが含まれます。
そのため、例えばウェブサイトを圧倒する分散型サービス妨害(DDoS)攻撃は、データ侵害ではありません。企業の顧客データにアクセスできないようにし、身代金を支払わなければ盗んだデータを漏洩させると脅迫するランサムウェア攻撃は、データ侵害に該当します。ハード・ドライブ、USBフラッシュ・ドライブ、さらには機密情報が含まれる紙ファイルの物理的な盗難もデータ侵害です。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
IBMの2025年データ侵害のコストに関する調査レポートによると、データ侵害の損害額における世界的平均は444万米ドルです。どのような規模や種類の組織でも、侵害に対しては脆弱ですが、侵害の重大度や修復にかかるコストはさまざまです。
たとえば、米国でのデータ侵害の平均コストは1,022万米ドルで、インドでの侵害の平均コスト(251万米ドル)の約4倍です。
医療、金融、公共部門など、規制が厳しい分野の組織では、侵害の結果が特に深刻になる傾向があり、高額の罰金や罰則によりコストが増大する可能性があります。たとえば、IBMのレポートによると、2025年の医療データ侵害による平均コストは742万ドルで、14年連続で侵害による平均コストが最も高い業種となりました。
データ侵害のコストはいくつかの要因から生じますが、IBMのレポートでは、ビジネス損失、検知とエスカレーション、侵害後の対応と通知という4つの主要な要因が指摘されています。
侵害によって生じる事業、収益、顧客の損失は、平均で138万米ドルとなっています。侵害を検知してエスカレーションするための費用はさらに高く、147万米ドルにもなります。侵害後の費用(罰金、和解金、訴訟費用、影響を受けた顧客への無料信用監視の提供など)は、侵害の被害者に平均120万米ドルの負担がかかります。
顧客、規制当局、その他の第三者への違反報告を含む通知コストは、39万米ドルと負担自体は最も低いものの、報告義務は依然として厳しく、時間のかかるものであることは注意に値します。
2022年米国重要インフラ向けサイバーインシデント報告法(CIRCIA)は、国家安全保障、金融、その他の指定業種の組織に対し、個人データまたは事業運営のいずれかに影響を及ぼすサイバーセキュリティインシデントを72時間以内に国土安全保障省に報告することを義務付けています。
医療保険の相互運用性と説明責任に関する法律(HIPPA)の対象となる米国の組織は、保護された医療情報が漏洩した場合、米国保健社会福祉省、影響を受ける個人、および場合によっては、メディアに通知しなければなりません。
米国の50州すべてに独自のデータ侵害通知法があります。
一般データ保護規則(GDPR)は、EU市民と取引する企業に対し、違反を72時間以内に当局に通知することを義務付けています。
データ漏えいの原因は次のとおりです。
従業員が機密情報を間違った相手に電子メールで送信するなど、悪意のない間違い。
悪意のあるインサイダーには、会社に損害を与えたり評判を落としたりしようとする怒った従業員や解雇された従業員、会社のデータから利益を得ようとする強欲な従業員などが含まれます。
ハッカーとは、データを盗むために意図的なサイバー犯罪を犯す悪意のある部外者です。ハッカーは、単独のオペレーターとして行動することも、組織化された組織の一員として行動することもあります。
悪意のあるデータ侵害のほとんどの主な動機は金銭的利益です。ハッカーは個人や企業から直接資金を奪うために、クレジットカード番号、銀行口座、その他の金融情報を盗みます。
攻撃者の中には、社会保障番号や電話番号など個人を特定できる情報(PII)を盗んで被害者本人になりすまし、被害者名義でローンを組んだりクレジットカードを作ったりする者もいます。サイバー犯罪者は、盗んだ個人情報や口座情報をダークウェブで販売する場合もあり、そこでは銀行のログイン情報に対して500米ドルもの値がつくこともあります。
データ漏洩は、より大規模な攻撃の第一段階となることもあります。例えば、ハッカーは企業幹部のメール・アカウントのパスワードを盗み、そのアカウントを使用してビジネス・メール詐欺を実行する可能性があります。
データ侵害には、個人的な利益を得る以外の目的がある場合があります。悪質な組織が競合他社から企業秘密を盗んだり、国家機関が政府のシステムに侵入して機密の政治取引、軍事作戦、国家インフラに関する情報を盗んだりする可能性があります。
内部または外部の攻撃者によって引き起こされる意図的なデータ侵害は、以下のような同じ基本パターンに従って実行されます。
悪意のある攻撃者は、さまざまな攻撃経路または手法を使用してデータ侵害を実行する可能性があります。最も一般的なものは次のとおりです。
2025年データ侵害のコストに関する調査レポートによると、盗まれたり漏洩したりした認証情報は、最も一般的な初期攻撃ベクトル上位5つのうちの1つであり、データ侵害の10%を占め、特定に最大186日を要します。
ハッカーは、ブルートフォース攻撃を使用してパスワードを解読したり、ダークウェブから盗まれた認証情報を購入したり、ソーシャル・エンジニアリング攻撃を通じて従業員をだましてパスワードを明かさせたりすることで、認証情報を侵害する可能性があります。
ソーシャル・エンジニアリング攻撃とは、人々を心理的に操作して、無意識のうちに彼ら自身の情報セキュリティーを危険にさらさせる行為です。
最も一般的なソーシャルエンジニアリング攻撃であるフィッシングは、最も一般的なデータ侵害攻撃ベクトルでもあり、侵害の16%を占めています。フィッシング詐欺では、偽の電子メール、テキスト・メッセージ、ソーシャル・メディア・コンテンツ、またはWebサイトを使用して、ユーザーを騙して認証情報を共有させたり、マルウェアをダウンロードさせたりします。
マルウェアの一種ランサムウェアは、被害者が身代金を支払うまでデータを人質に取るものであり、2025年データ侵害のコストに関する調査レポートによると、そのコストは平均508万米ドルとなっています。こうした侵害は金額が膨れ上がる傾向があります。というのも、この数字に身代金支払い(数千万ドルに達することもある)は含まれていないからです。
サイバー犯罪者は、Webサイト、オペレーティング・システム、エンドポイント、API、Microsoft Officeなどの一般的なソフトウェアやその他のIT資産の脆弱性を悪用して、ターゲット・ネットワークにアクセスできます。
脅威の攻撃者はターゲットを直接攻撃する必要はありません。サプライチェーン攻撃では、ハッカーは企業のサービスプロバイダーやベンダーのネットワークの脆弱性を悪用してデータを盗みます。
ハッカーは脆弱性を見つけると、それを悪用してネットワークにマルウェアを仕掛けることがよくあります。スパイウェアは、被害者のキー入力やその他の機密データを記録し、それをハッカーが管理するサーバーに送り返すもので、データ侵害でよく使われるタイプのマルウェアです。
ターゲット・システムに直接侵入するもう1つの方法は、セキュリティー保護されていないWebサイトのSQL(構造化クエリー言語)データベースの脆弱性を利用するSQLインジェクションです。
ハッカーは、検索バーやログイン・ウィンドウなどのユーザー向けのフィールドに悪意のあるコードを仕込みます。このコードにより、データベースからクレジットカード番号や顧客の個人情報などの個人データが漏洩することになります。
脅威アクターは従業員のミスを利用して機密情報にアクセスする可能性があります。2025年データ侵害のコストに関する調査レポートによると、データ侵害の原因の26%は人為的ミスによるもので、23%はIT障害によるものです。
例えば、誤って構成されたシステムや古いシステムでは、権限のない者がアクセスできないデータにアクセスできてしまう可能性があります。従業員は、データを安全でない場所に保存したり、ハードドライブに機密情報が保存されているデバイスを置き忘れたり、ネットワーク・ユーザーに誤って過剰なアクセス権限を与えたりすることで、データを公開する可能性があります。サイバー犯罪者は、一時的なシステム停止などの IT 障害を利用して、機密データベースに侵入する可能性があります。
脅威アクターは、従業員のデバイス(ノートPCや携帯電話など)、紙文書、機密データの入った物理的なハードディスクを盗むために、会社のオフィスに侵入する可能性があります。攻撃者は、物理的なクレジット・カードやデビット・カードのリーダーにスキミング・デバイスを設置して、支払いカード情報を収集することもあります。
データ侵害の代表的な例を6つ紹介します。
2007年に小売業者であるTJ Maxx社やMarshalls社の親会社であるTJX 社で発生したデータ侵害は、当時として米国史上規模が最も大きく、最も損害額の大きい消費者データ侵害イベントでした。約9400万人の顧客のデータ・プライバシーが危険にさらされ、同社は2億5600万米ドル以上の被害を被りました。
ハッカーは2つの店舗の無線ネットワークにトラフィック・スニファーを仕掛けてデータにアクセスしました。具体的には、スニファーにより店舗のレジからバックエンド・システムに送信される情報をキャプチャしました。
2013年、Yahoo社は史上最大のデータ侵害に見舞われました。ハッカーは同社のクッキー・システムにおける脆弱性を悪用し、Yahooを使用する全ユーザー30億人の名前、生年月日、電子メールアドレス、パスワードに不正にアクセスしました。
侵害の全容は、米国の通信会社であるVerizon社が同社の買収交渉を行っていた2016年に明らかになりました。その結果、Verizon社は3億5,000万米ドル値引きした買収金額を提案しました。
2017年、ハッカーは信用調査機関Equifax社に侵入し、1億4300万人以上の米国の個人データに不正にアクセスしました。
ハッカーらは、Equifax社のWebサイトの未修正の脆弱性を悪用してネットワークにアクセスしました。その後、ハッカーたちは他のサーバーに横移動し、社会保障番号、運転免許証番号、クレジットカード番号を入手し、この攻撃により、Equifax社は和解金、罰金、侵害の修復に関連するその他の費用を含めて14億米ドル支払いました。
2020年、ロシアの脅威アクターはソフトウェア・ベンダーのSolarWinds社をハッキングしてサプライチェーンを攻撃しました。ハッカーたちは、組織のネットワーク監視プラットフォームである「Orion」を使用して、SolarWinds社の顧客にマルウェアを密かに仕込みました。
ロシアのスパイは、SolarWinds社のサービスを利用している財務省、司法省、国務省など、さまざまな米国政府機関の機密情報にアクセスしました。
2021年には、ハッカーが米国の大手パイプライン会社であるColonial Pipeline社のシステムをランサムウェアに感染させ、同社は米国東海岸の燃料の45%を供給するパイプラインを一時的に閉鎖せざるを得なくなりました。
ハッカーはダークウェブで見つけた従業員のパスワードを使ってネットワークに侵入しました。Colonial Pipeline社は440万米ドルの身代金を暗号通貨で支払ったものの、連邦法執行機関はその支払いのうち約230万米ドルを回収しました。
2023年の秋には、ハッカーは個人ゲノム解析およびバイオテクノロジーを提供する米企業23andMe社の690万人のユーザー情報を盗みました。この侵害は、いくつかの理由で注目に値します。まず、23andMe社は遺伝子検査を実施しているため、攻撃者は家系図やDNAデータなど、従来にない、極めて個人的な情報を入手しました。
第二に、ハッカーは「クレデンシャル・スタッフィング」と呼ばれる手法でユーザー・アカウントに侵入しました。この種の攻撃では、ハッカーは他のソースからの過去の漏洩で公開された認証情報を使用して、異なるプラットフォーム上のユーザーの無関係なアカウントに侵入します。これらの攻撃が成功するのは、多くの人が複数のサイト間で同じユーザー名とパスワードの組み合わせを使い回しているためです。
2025年データ侵害のコストに関する調査レポートによると、アクティブな侵害を特定して封じ込めるまでに、全業界で平均すると241日を要します。適切なセキュリティー・ソリューションを導入することで、組織はこうした侵害をより迅速に検知し、対応できるようになります。
定期的な脆弱性評価 、スケジュールされたバックアップ、タイムリーなパッチ適用、適切なデータベース構成など、標準的なリスク管理対策は、一部の侵害を防ぎ、侵害が発生した場合の被害を抑制する上で役立ちます。
しかし、今日では多くの組織が、より多くの侵害を阻止し、侵害によって生じる損害を最小限に抑えるために、より高度な制御とベスト・プラクティスを講じています。
組織は、専用のデータ・セキュリティー・ソリューションを導入して、機密データを自動的に検出して分類し、暗号化やその他の保護を適用して、データの使用状況に関するリアルタイムな洞察を取得できます。
組織は、サイバー脅威を検知、封じ込め、根絶するための正式なインシデント対応計画を採用することで、侵害による被害を軽減できます。2025年データ侵害のコストに関する調査レポートによると、2025年に3番目に人気の高いセキュリティー投資分野は、IR計画とテストであり、回答者全体の35%を占めました。
2025年データ侵害のコストに関する調査レポートによると、セキュリティー業務に人工知能(AI)とオートメーションを広範に導入している組織は、導入していない組織よりも侵害を80日早く解決しています。同レポートでは、セキュリティーAIとオートメーションにより、侵害に対するコストが平均190万米ドル、もしくは34%以上削減されることも明らかになりました(セキュリティーAIとオートメーションを使用していない組織との比較)。
多くのデータ・セキュリティーやデータ損失防止策、およびIDおよびアクセス管理ツールには現在、AIとオートメーションが組み込まれています。
ソーシャル・エンジニアリング攻撃とフィッシング攻撃は侵害の主な原因であるため、従業員がこれらの攻撃を認識して回避できるようにトレーニングすることで、企業のデータ侵害のリスクを軽減できます。さらに、データを適切に扱うよう従業員をトレーニングすることで、偶発的なデータ侵害やデータ漏洩を防ぐこともできるでしょう。
パスワード・マネージャー、2要素認証(2FA)または多要素認証(MFA)、シングル・サインオン(SSO)、その他のIDおよびアクセス管理(IAM)ツールにより、従業員のアカウント、VPN、認証情報を盗難から保護できます。
組織は、役割ベースのアクセス制御と最小権限の原則を適用して、従業員のアクセスを役割に必要なデータのみに制限することもできます。こうしたポリシーは、内部脅威と、アカウントを乗っ取る外部ハッカーの侵入の両方を阻止するのに役立ちます。