データ窃盗(データ抽出またはデータ・エクスポートとも呼ばれる)は、コンピュータや他のデバイスからデータを意図的に、不正に、秘密裏に転送する行為、つまりデータの盗難です。データ窃盗は手動で行うことも、マルウェアを使って自動化することも可能です。
平均的なユーザーから大手企業や政府機関に至るまで、データ抽出攻撃は最も破壊的で被害の大きいサイバーセキュリティー脅威のひとつです。データ抽出を防止し、企業データを保護することは、次のような点で非常に重要です。
事業継続性の維持:データ窃盗が発生すると、オペレーションの停止、顧客の信頼損失、経済的損失につながる可能性があります。
規制の遵守:多くの業界では、データ・プライバシーと保護に関する独自の規制が設けられています。データ窃盗は多くの場合、こうした規制を遵守していないことによる、あるいはそのその違反を露呈することによるものであり、厳しい罰則や長期的な風評被害を招く可能性があります。
知的財産の保護:データ窃盗は、企業秘密、研究開発、および組織の収益性と競争優位性に不可欠なその他の専有情報が侵害される可能性があります。
サイバー犯罪者にとって、機密データは極めて価値の高い標的になります。盗まれた顧客データ、個人情報(PII) 、社会保障番号、その他の機密情報は、闇市場で販売される可能性があります。また、盗まれたデータは、さらなるサイバー攻撃の実行に利用されたり、ランサムウェア攻撃の一環として法外な身代金と引き換えに人質として利用されることもあります。
IBM Security X-Force Threat Intelligence Indexを利用すると、サイバー攻撃への対策や対応をより迅速かつ効果的に行うためのインサイトを得ることができます。
データ侵害コスト・レポートに登録する
データ漏洩、データ侵害 、データ窃盗は、同じ意味で使用されることが多いですが、関連はあっても異なる概念です。
データ漏洩とは、機密データが誤って 漏洩すること です。データ漏洩は、技術的なセキュリティの脆弱性または手順上のセキュリティー・エラーが原因で発生する可能性があります。
データ侵害とは、機密情報や機密情報への 不正アクセス を引き起こすセキュリティー・インシデントのことです。機密データにアクセスすべきではない人が、機密データにアクセスしてしまいます。
データ窃盗は、 データを盗むという個別の行為を指します。すべてのデータ窃盗にはデータ漏洩またはデータ侵害が必要ですが、すべてのデータ漏洩やデータ侵害がデータ窃盗につながるわけではありません。たとえば、脅威アクターは、ランサムウェア攻撃の一環としてデータを暗号化したり、そのデータを利用して役員のEメール・アカウントをハイジャックしたりすることもできます。データが攻撃者の管理下にある他のストレージ・デバイスにコピーまたは移動されるまでは、データ窃盗とはなりません。
この違い重要です。せGoogleで「データ窃盗コスト」を検索すると、通常はデータ侵害のコストに関する一般的な情報が表示されますが、データ窃盗のコストについてはあまり表示されません。これらには、窃盗されたデータの販売や公開を防ぐための多額の身代金や、その後の攻撃を防ぐためのさらなる身代金などが含まれることが多いです。
通常、データ窃盗は次のような原因で起こります。
外部の攻撃者 ー ハッカー、サイバー犯罪者、外国の敵対者、またはその他の悪意のある行為者です。
不注意な内部脅威—従業員、ビジネス・パートナー、またはその他権限を持つユーザーが、ヒューマン・エラー、誤った判断(たとえば、フィッシング詐欺に引っかかるなど)、セキュリティ管理、ポリシー、ベスト・プラクティスに対する無知により、データを不注意に公開してしまうこと。たとえば、機密データをUSBフラッシュ・ドライブ、ポータブル・ハード・ディスク・ドライブ、またはその他安全でないデバイスに転送するユーザーは、脅威となります。
まれに、悪意のある内部関係者の脅威、つまり不満を抱いた従業員など、ネットワークへのアクセスを許可された悪意のある者が原因である場合もあります。
外部の攻撃者や悪意のあるインサイダーは、不注意なインサイダーまたは十分な訓練を受けていないインサイダー、およびセキュリティー上の技術的な脆弱性をエクスプロイトして機密データにアクセスし、盗み出します。
ソーシャル・エンジニアリング攻撃は、人間の心理をエクスプロイトして、個人を操ったり騙したりして、その個人や組織のセキュリティーを危険にさらします。
最も一般的なタイプのソーシャル・エンジニアリング攻撃はフィッシングです。これは、信頼できる送信者を装ったEメール、テキスト・メッセージ、音声メッセージを利用して、ユーザーに以下のいずれかの行動を取らせます。
- マルウェア(ランサムウェアなど)をダウンロード
- 悪意のあるウェブサイトへのリンクをクリックする
- 個人情報(ログイン認証情報など)を教える
- 攻撃者が盗み出したいデータを直接渡す
フィッシング攻撃には、信頼できるブランドや組織から送信されたように見える非個人的な大量のフィッシング・メッセージから、高度にパーソナライズされたスピア・フィッシング、ホエール・フィッシング、ビジネス・メール詐欺(BEC)攻撃まで、さまざまなものがあります。BEC攻撃は、親しい同僚や権威ある人物から送信されたように見えるメッセージで特定の個人を標的にします。
しかし、ソーシャル・エンジニアリングはそれほど技術的ではありません。ソーシャル・エンジニアリング手法の一つである「ベイティング」は、マルウェアに感染したUSBメモリをユーザーが手に取る場所に置くという単純なものです。もう一つの手法は「テールゲイト」と呼ばれるもので、認証されたユーザーを単に追跡して、データが保管されている部屋や物理的な場所に入るというものです。
脆弱性のエクスプロイトは、システムやデバイスのハードウェア、ソフトウェア、ファームウェアに存在するセキュリティー上の欠陥や脆弱性を悪用するものです。ゼロデイ・エクスプロイトは、ソフトウェアやデバイスのベンダーがセキュリティー上の欠陥に気づく前、または修正プログラムを適用する前に、ハッカーが発見したセキュリティー上の欠陥を悪用するものです。DNSトンネリング ドメイン・ネーム・サービス(DNS)リクエストを使用してファイアウォールの防御を回避し、機密情報を抜き出すための仮想トンネルを作成します。
個人にとっては、窃盗によってデータが盗まれると、個人情報の盗難、クレジットカード詐欺や銀行詐欺、恐喝や強要といった、多額の金銭的損失につながる可能性があります。組織、特に医療や金融など規制の厳しい業界に属する組織にとって、その影響は桁違いに甚大なものになります。以下に挙げるような事態が発生する可能性があります。
ビジネス・クリティカルなデータの喪失によるオペレーションの中断
顧客の信頼またはビジネスの喪失
企業秘密(製品の開発や発明の内容、独自のアプリケーション・コード、製造プロセスなど)の侵害
顧客の機密データを扱う際に、厳格なデータ保護とプライバシーに関する規定や予防措置を遵守することが法律で義務付けられている組織に対する厳しい規制上の罰金、手数料、その他の制裁措置
データの窃盗によって可能になるその後の攻撃
データ窃盗に直接起因するコストに関する報告書や調査結果はなかなか見つけることができませんが、データ窃盗のインシデントは急増加しています。今日、ほとんどのランサムウェア攻撃は二重脅迫型の攻撃となっており、サイバー犯罪者が被害者のデータを暗号化して、 それを盗み出します。次に、サイバー犯罪者はデータのロックを解除するための身代金(被害者がオペレーションを再開できるようにするため)を要求した後、第三者へのデータの売却や公開を防ぐための身代金を要求します。
2020年、サイバー犯罪者はMicrosoft社とFacebook社から数億件もの顧客記録を盗み出しました。2022年、Lapsus$というハッカー集団がチップメーカーのNvidia社から1テラバイトの機密データを盗み出し、同社のディープラーニング(深層学習)テクノロジーのソースコードを流出させました。ハッカーが金銭的利益を追うのであれば、データ窃盗による金銭的利益は大きなものとなり、さらに大きなものになっているはずです。
組織は、ベスト・プラクティスとセキュリティー・ソリューションを組み合わせてデータ抽出を防止します。
セキュリティ意識向上トレーニング。フィッシングはデータ窃盗における攻撃ベクトルとして非常に一般的であるため、フィッシング詐欺を見抜く力をつけるトレーニングをユーザーに実施することで、ハッカーによるデータ窃盗の試みを防ぐことができます。リモートワーク、パスワードの衛生管理、職場での個人用デバイスの使用、会社データの取り扱い・転送・保管に関するベスト・プラクティスをユーザーに教育することは、組織がデータ窃盗のリスクを軽減するのに役立ちます。
IDおよびアクセス管理(IAM)。IAMシステムにより、企業はネットワーク上の各ユーザーに単一のデジタルIDと単一のアクセス権限セットを割り当てて管理できます。これらのシステムは、権限を持つユーザーのアクセスを効率化すると同時に、権限を持たないユーザーやハッカーの侵入を防ぎます。IAMは以下のテクノロジーを組み合わせることができます。
多要素認証—ユーザー名とパスワードに加えて、1つ以上のログオン認証情報を必要とします。
ロールベースアクセス制御(RBAC)—組織におけるユーザーの役割に基づいてアクセス許可を提供します。
適応型認証—コンテキストが変化した場合(デバイスを切り替えた場合、特に機密性の高いアプリケーションやデータにアクセスしようとした場合など)、ユーザーに再認証を要求します。
シングル・サインオン—単一のログイン認証情報でセッションに一度だけログインし、そのセッション中に再度ログインすることなく複数の関連するオンプレミスまたはクラウド・サービスにアクセスできるようにします。
データ損失防止(DLP)。DLPソリューションは、保存中(ストレージ内)、移動中(ネットワーク上を移動中)、使用中(処理中)など、あらゆる状態の機密データを監視および検査し、窃盗の兆候がないか検査し、窃盗が検出された場合は阻止します。たとえば、DLPテクノロジーは、不正なクラウド・ストレージ・サービスへのデータのコピーや、不正なアプリケーション(ユーザーがWebからダウンロードしたアプリなど)によるデータの処理などをブロックできます。
脅威の検知と対応テクノロジー。サイバーセキュリティー・テクノロジーの種類が増え、企業のネットワーク・トラフィックやユーザー・アクティビティを継続的に監視・分析しています。これらのテクノロジーは、多忙なセキュリティ・チームがリアルタイムまたはほぼリアルタイムでサイバー脅威を検知し、最小限の手動介入で対応できるように支援します。これらのテクノロジーには次のものが含まれます。
オンプレミスまたはハイブリッド クラウドに実装された IBM データ セキュリティ ソリューションは、サイバー脅威の調査と修復、リアルタイム制御の強化、法規制順守の管理に役立ちます。
積極的な脅威ハンティング、継続的な監視、脅威の徹底的な調査は、すでに多忙なIT部門が直面している優先事項のほんの一部にすぎません。信頼できるインシデント対応チームを待機させると、対応時間が短縮され、サイバー攻撃による影響が最小限に抑えられ、より迅速な復旧が可能になります。
ランサムウェア、人為的ミス、自然災害、妨害行為、ハードウェア障害、その他のデータ損失リスクから組織のプライマリーおよびセカンダリーストレージシステムをプロアクティブに保護します。
ランサムウェアは、暗号化を解除してデータへのアクセスを復元するために攻撃者に身代金を支払わない限り、被害者のデータやファイルを破壊または保留すると脅すマルウェアの一種です。
17年目を迎えるこのレポートでは、拡大し続ける脅威の状況に関する最新インサイトを共有し、手間を掛けずに被害を制限するための推奨事項を提供します。
CISO(セキュリティーチームとビジネス・リーダー): 脅威アクターがどのように攻撃を仕掛けているか、そして組織をプロアクティブに保護する方法を理解するための実用的なインサイトをご覧ください。。