データ窃取とは?
データ窃取とは、企業のデータベース、デバイス、サーバーに保存されている情報を盗む行為のことです。この形態の情報窃取は、あらゆる規模の企業にとって重大なリスクであり、組織内外で発生する可能性があります。
データ窃取という用語は、この種の侵害が悪意に基づいているという印象を与える可能性がありますが、必ずしもそうではありません。たとえば、従業員が安全でないフラッシュドライブで情報を持ち帰ったり、契約終了後も情報へのアクセスを保持したりする場合があります。
従業員データは本人が気が付かないうちに、悪意によって盗まれることがよくあります。それは、パスワード管理の不備や安全でないネットワークを悪用したハッカーによって、従業員のアカウントや個人用デバイスが侵害された結果です。企業のシステムにアクセスした窃盗犯は、ネットワーク内に潜み、数日、数週間、または数年にわたって正当なユーザーのふりをする可能性があります。それが検知されないまま、機密性の高い企業データへのアクセス権をさらに獲得し、それに気づかない企業にとっては、ますます大きな脅威となっています。
データ窃取が重要な理由
金銭的利益は、企業データ窃取の主な動機であり、侵害の少なくとも86%の原因として特定されています。攻撃者は、データを盗んで他の悪質業者に販売することで、企業のセキュリティの脆弱性を悪用し、利益を得ています。
企業にとって データ漏えいの影響は、金銭的コストと風評被害の両面で壊滅的なものになりかねません。2018年、データ漏えいの平均コストは120 万ドル以上となり、前年比24%増となりました。データ窃取の影響に対応し、そこから回復するためのリソースを持たない中小企業は特に危険にさらされており、攻撃を受けた中小企業の60%が6か月以内に廃業しています。
しかし、データ窃取の影響は、企業にとって直接的な財務上の影響にとどまりません。盗難に遭った企業は、次のような被害を受ける可能性があります。
- 攻撃者からのランサムウェアの要求:情報がサイバー犯罪者によって人質に取られる可能性があり、情報を取り戻すために金銭を払うことになっても、それが解決策となる保証はありません。
- 高額な復旧コスト:データ復旧コストは、バックアップを保存するために元々使用されていたシステムによって様々です。侵害後にシステムにパッチを適用すると、その請求額はさらに高くなる可能性があります。
- 風評被害と顧客離れ:データが盗まれると、既存の顧客は離れていくかもしれません。また、過去に侵害を受けたブランドが新規ビジネスを獲得するのは難しいかもしれません。
- データが漏洩した顧客からの訴訟:データが誤って取り扱われた場合、企業は影響を被ったユーザーから法的措置を受ける場合があります。
- データ復旧時のダウンタイム:データ窃取により、侵害が修正されるまでの間、企業が既存のシステムを使用できなくなる可能性があり、従業員の生産性の低下は、窃取と同じくらい大きな打撃となります。
- 規制機関からの罰金:業界にもよりますが、セキュリティ要件を満たさなかった場合、企業は経済的に大きな打撃を受ける可能性があります。
多くのデータ窃取が、従業員の単純な過失の結果として発生しているため、企業は情報の損失や悪用から身を守る必要があります。
窃取はどのように発生するのか?
攻撃者は組織からデータを盗むために様々な方法を用います。企業は、次のような場合にデータ窃取の機会を与えてしまいます。
- 無効なパスワード:攻撃者がパスワードを盗もうとする理由は、費用対効果が高くシンプルな手法であり、莫大な報酬を得ることができるからです。
- メールの不衛生と基本的なセキュリティの失敗:一般的なデータ窃取の手口には、フィッシング、偽のウェブサイトや Wi-Fi ネットワークの作成、USB ドライブへの感染などの電子メールを使った攻撃があります。これらの手口は、企業に身代金を要求したり、単に IT システムに損害を与えたりするために、データを盗み暗号化するために使われます。
- ネットワークの欠陥:デバイスやテクノロジーの高度化が進む中、データ窃取のリスクも高まっています。特にモノのインターネットの台頭により、ハッカーがインターネットに接続されたデバイスやエンドポイントを標的にする新たな機会が生まれています。ネットワークやソフトウェアのセンサーを含む複雑な産業機械や、機密情報を含む医療システムは、企業からの窃取の格好の標的となっています。
- パッチが適用されていないサーバー: セキュリティプロセスには常に改善の余地があるため、開発者はサーバーアプリケーションの既存のバグに対する修正を頻繁に行っています。しかし、これらのパッチを実装するかどうかは管理者の責任であり、サーバーの更新の確認と展開を怠った企業は、システムを悪用する危険にさらされたままの状態になります。
- 公開されている情報:ハッカーが企業からの情報窃取に使うのはテクノロジーだけではありません。サイバー犯罪者は、個人を標的にするだけでなく、企業のシステムへのアクセスや従業員のデータ窃取に必要な情報を入手するために利用する、ソーシャルネットワークや一般に公開されている情報をも重要なターゲットとしています。
- インサイダーの脅威:ユーザーの離職は企業にとって大きなリスクです。69%の組織が従業員の退職時におけるデータ損失に見舞われています。こうしたデータは、多くの場合、顧客や見込み客の情報や独自のコードなど、機密性の高いものです。社内の従業員でさえ脅威となりかねません。会社に対して不満を抱いているユーザーは、個人的または金銭的な利益のために企業データを盗む傾向にあるからです。
データ窃取の例
大量のデータを危険にさらすサイバーセキュリティ侵害は常に大きなニュースですが、以前はまれでした。現在では、数千人または数百万人に影響を与えるインシデントは日常茶飯事です。世界中で起きたデータ窃取の4つの事例を紹介します。
- Yahoo!:インターネット大手Yahoo!の30億人のユーザーアカウントから個人情報が盗まれたことは、当時、史上最大のデータ侵害でした。2016年9月、同社は2014年の侵害で5億人のユーザーが侵害されたことを明らかにしました。Yahoo!は、 データの盗難は、権限のない第三者が Cookie を偽造し、パスワードを必要とせずにユーザーのアカウントにアクセスした結果であると主張しました。
- 新浪微博(Sina Weibo):中国のソーシャルネットワーキングサイト微博は、2020年3月に5億3800万人のユーザーデータが盗まれ、ダークウェブで売りに出されました。顧客の名前と性別、サイトのユーザー名、位置情報の追跡が消失しました。微博は、アドレス帳 API と連絡先の照合によってデータが盗まれたと主張しましたが、この話にはまだ続きがあるかもしれません。
- パネラ (Panera) :このベーカリー企業では、3,700万件もの顧客記録の流出が発生しました。どうしてそんなことが起きたのでしょうか。この事例は、サイバーセキュリティ研究者がレストラン業界のオンラインデリバリーポータルを調査中に、認証されていない API エンドポイントを発見し、その際に露呈した脆弱性への対処に失敗したからです。その結果、ハッカーは機密性の高い顧客情報にアクセスし、データストア上に構築することができたのです。
- アダルトフレンドファインダー:アダルトネットワーキングサイトは2016年、4億1220万アカウントのデータの盗難に遭いました。盗まれたデータは、6つの個別のアダルトコンテンツのウェブサイトのデータベースにわたって20年以上もの間蓄積されたもので、攻撃者はユーザー名、メールアドレス、パスワードを盗みました。この企業を対象とした窃取は、サイトの本番サーバーでローカルファイルインクルージョンの脆弱性を引き起こしたため発生し、攻撃者はスクリーンショットをツイッターに投稿することでこれを証明しました。
データ窃取を防ぐためのヒント
データ窃取の防止は、企業が最も重要なデータやリソースへのアクセスを制限し、従業員が取るあらゆるデータ関連の行動を監視し、違反に対する明確な結果を伴うサイバーセキュリティポリシーを確立することにかかっています。真にデータを盗難から守るためには、企業はバランスの取れた行動計画を実施し、情報窃取のリスクを軽減する必要があります。
これらのヒントは、企業が強固なデータ窃取防止プランを構築するのに役立ちます。
-
ネットワークへのアクセスを保護する:企業データと顧客データを保護するには、適切なユーザーのみが適切なタイミングで適切なリソースにアクセスできるようにする必要があります。このゼロトラストの義務化は、堅牢な認証ポリシーと、すべてのログインリクエストを分析してユーザーの ID を検証するコンテキスト認識型の多要素認証によって実践できます。
-
エンドポイントの管理:従業員がリモートで業務を行い、各自のデバイスを使用することにより、デバイスの紛失や漏えいが発生した場合にデータを安全に保護できるよう、エンドポイントのセキュリティ体制を強化することが不可欠です。たとえば、Okta デバイスは、デバイスとユーザー ID をペアリングし、デバイスの可視性を可能にし、エンドポイントセキュリティツールと統合してアクセス決定を強制します。
-
リスクの評価、評価、明確化:データがどこにあり、誰がアクセスできるかを知ることは、堅牢なサイバーセキュリティ戦略の基盤です。しかし、組織が情報の保護に乗り出すには、どの資産が最も狙われやすいかを理解することが不可欠です。包括的なリスク評価を実施し、データセキュリティガバナンスポリシーの構築に使用できる重要なシステムのリストを作成します。このリストとその結果のポリシーは、定期的に再評価する必要があります。
-
データ損失防止 (DLP) ツールと電子メールゲートウェイの導入:DLPツールは 、盗難または破損したデータの復元に非常に役立ちます。これは、従業員が意図的または偶発的に重要な企業データを削除または改ざんした場合に特に重要です。一方、電子メールゲートウェイは、機密データの共有を促す可能性のある潜在的なフィッシング攻撃からユーザーを保護するのに役立ちます。
-
従業員のアクティビティを監視する:ユーザーのアクセス許可とアクティビティログを一元的に可視化することで、サイバーセキュリティインシデントの余波で何が起こったかを解明する作業を、簡素化することができます。自動インシデント対応やユーザーエンティティ行動分析 (UEBA) などの高度なツールを使用して、インサイダーデータの盗難から重要な情報をさらに保護することもできます。
-
特権アクセスの制限:企業リソースへの最も高いアクセス権限を持つユーザーは、最も厳しく監視すべきユーザーです。これらのユーザーは、攻撃者にとって、ビジネスの機密性の高い非常に重要なデータにアクセスできる最も貴重なルートです。アクセス権限は、各従業員が業務を遂行するのに必要な情報とリソースのみに制限されるべきです。さらに、管理者アカウントは日常的な業務には使用せず、アクセス権は必要に応じて簡単にダウングレードしたり、完全に失効させたりする必要があります。
-
アクセスポイントの保護:企業データのセキュリティは、ユーザーが重要な情報にアクセスしようとするたびに、そのユーザーの本人確認を行うことにかかっています。ビジネスクリティカルなリソースは、次のような強化されたデータ保護方法とテクノロジーで保護する必要があります。
-
手動アクセス承認
-
USB デバイスの管理
-
ポリシー手続きを実施:すべての従業員は、データ窃取を防ぐ責任があります。そのためにも、組織は明確かつ明示的なデータセキュリティポリシーを作成し、情報の保護についてすべての人に責任を負わせる必要があります。これらは、データのプライバシー、電子メールの使用、パスワード保護、およびモバイルデバイスの使用を中心に行われるべきです。
-
定期的なテストの実施:企業は、自社のシステムが整合性基準を満たしているかどうかを評価するために、定期的なテストを予定すべきです。悪意のあるハッカーからの攻撃をシミュレートするにしても、アプリの欠陥を検査するにしても、セキュリティ監査はシステムを最新の状態に保つための重要な要素です。
-
新しいセキュリティモデルの適応:企業は、ユーザー検証に加えて、Forrester のZero Trust Extended Ecosystem (ゼロトラスト拡張エコシステム)や Gartner の継続的な適応型リスクおよび信頼性評価 (CARTA) などのセキュリティフレームワークにも目を向ける必要があります。
-
ゼロトラストは 、従来のネットワーク境界のセキュリティ確保から、 すべてのエンドポイントにおけるセキュリティ確保に重点を移しており、信頼できるインサイダーの概念を排除します。
-
CARTA は、サイバーセキュリティについて、デフォルトでは信頼できるエンティティはないものとし、アクセス要求は常に現在のコンテキストに基づいている適応機能であるとみなします。異常検知、機械学習、UEBA などのテクノロジーは、従来のルールベースのソリューションでは検知できなかったインシデントを処理するのに役立ちます。
-
データ窃取から会社を守るには、積極的な計画と毎日の監視が必要です。Okta がデータ窃取のリスク軽減にどのように役立つかについては、 Okta Security Technical Whitepaper (セキュリティテクニカルホワイトペーパー) をお読みください。