自分の個人情報が流出しているかを把握するには--漏えいから身を守る方法も - (page 2)

データ侵害はどのように起きるか

　IBMによると、サイバー攻撃者が企業ネットワークに侵入するために、まず利用するのは不正に入手した認証情報だという。

　その一例が、インターネット上に流出したアカウントのユーザー名とパスワードだ。これらの情報は、別のセキュリティインシデントで盗み出された場合もあれば、総当たり攻撃で見つけ出される場合もある。総当たり攻撃とは、自動スクリプトを使って、考えられる組み合わせを無数に試し、推測しやすいパスワードを解読する攻撃手法だ。

　攻撃手法には他にも次のようなものがある。

• Magecart攻撃：過去にBritish AirwaysやTicketmasterが受けた攻撃。悪意のあるコードをECの決済ページにこっそりと埋め込み、ユーザーのクレジットカード情報を盗み出す。

• ウェブサイトやフォームへの悪意あるコードの埋め込み：上記攻撃と同様の手口を用いて、ユーザーやサイトの訪問者から他のデータを奪うこともできる。正規のサービスにアクセスした個人から直接、気付かれないようにデータを盗み出す。

• ビジネスメール詐欺（BEC）：従業員や請負業者、サービス事業者になりすまして行われる詐欺。偽のメールを送るか、決済部門やカスタマーサービス部門の従業員に接触するなどして、情報を引き出したり、偽の銀行口座に入金するよう仕向けたりする。

• インサイダーによる脅威：悪意のある従業員やサイバー犯罪者にそそのかされた従業員が、内部から攻撃を行うこともある。ロシア人が米企業の従業員を丸め込み、会社のネットワークにマルウェアをインストールさせようとして逮捕された事件のように、内部の者によって会社の情報が攻撃者の手に渡る可能性もある。

• 過失：サーバーのセキュリティ対策に問題があり、設定ミスなどによってサイバー攻撃を受けやすい状態になっていると、データ漏えいや不正アクセスが起きる大きな要因となる。従業員が情報を意図せず漏らしてしまう場合もある。

• スパムやフィッシング：スパムメールやフィッシングサイトなどを利用して、個人の情報やアカウント情報を引き出そうとする攻撃。

データ侵害の影響

　ユーザーや顧客として関係している企業のデータが侵害された場合は、自分のデータも不正アクセスや盗難、流出の被害に遭っている可能性がある。

　氏名、住所、メールアドレス、職歴、電話番号、性別、パスポートや運転免許証など、個人を特定できる情報はすべて、なりすまし犯罪に悪用される恐れがある。

　「なりすまし（個人情報の窃盗）」とは、第三者の個人情報を不正に使って、その人のふりをすることだ。犯罪者は、他人のIDや金融取引情報を使って、詐欺や犯罪を行う。税金や医療関連の詐欺もあれば、他人の名義でクレジットカードを使ったり、ローンを組んだり、インターネットで不正な買い物をしたりすることも考えられる。

　あるいはSIMスワップ詐欺のように、攻撃者が被害者が利用している企業（例えば通信事業者）に電話をかけ、被害者の振りをして顧客担当者をだまし、情報を引き出したりサービス内容を変更したりするかもしれない。

　これらのシナリオでは、被害者の信用スコアが悪化したり、同意していない借り入れや支払いの責任を負わされたりする可能性がある。被害者は、自分の信用や財務状況の問題を解決するために、強いストレスや不安を感じる羽目に陥る。サイバー犯罪はグローバルに展開されるため、法執行機関が加害者を訴追するのは極めて難しいことが多い。

　脅迫が絡んでくる場合もある。2015年に不倫目的の出会い系サイト「Ashley Madison」で情報漏洩が発生した際には、一部のユーザーがサイバー犯罪者から接触を受け、金銭を支払わなければパートナーや友人や同僚に不倫の事実を伝えると脅迫された。

ネットワーク内に侵入されると何が起きるのか

　攻撃者の最初の行動としては、監視を行い、ネットワークをマッピングすることによって、もっとも価値の高いリソースがどこにあるかを突き止めようとしたり、ほかのシステムに侵入するため経路を探そうとしたりすることが考えられる。

　情報漏洩の大半は金銭的な動機から起きているため、ランサムウェアを展開され、ネットワークへのアクセスを取り戻したければ金銭を払えと脅迫されるかもしれない。また、先に秘密情報を盗み出しておき、その情報をオンラインで暴露すると脅す、いわゆる「二重脅迫」を受ける可能性もある。

　自分たちが狙っていた知的財産を見つけたら、それを盗んでそのまま去り、痕跡を消そうとするサイバー犯罪グループもある。一部のサイバー犯罪者は、アクセス手段が確認できたら、それをダークウェブ経由でほかのサイバー犯罪者に販売している。

　また攻撃者が、サービスを妨害し、特定の企業にダメージを与えるためだけにネットワークに侵入するケースもある。

　あるいは、悪意がある者が、ダウンロードしたデータを「Pastebin」などに投稿して、オンラインで誰でも自由にそのデータダンプにアクセスできるようにしてしまうこともある。

ダークウェブとは

　システムとしてのインターネットは、クリアウェブ、ディープウェブ、ダークウェブの3層に分けられる。

• クリアウェブ：クリアウェブとは、私たちの多くが日常的に使っているインターネットのことだ。検索エンジンには膨大な量のウェブサイトやページがインデックスされており、「Safari」「Chrome」「Firefox」などの一般的なブラウザーからアクセスすることができる。
• ディープウェブ：ディープウェブはクリアウェブの下にある層で、一般の検索エンジンに登録されない、つまり検索結果に表示されないウェブサイトやコンテンツのことを意味する。銀行口座のページやGmailの受信トレイなどが該当する。
• ダークウェブ：ディープウェブの下にある層が、ダークウェブだ。アクセスするには特定のブラウザが必要であり、通常はTorネットワークとVPNを使用する。ダークウェブではウェブサイトが.onionアドレスを使用してインデックスされており、ネットワーク全体がセキュリティと匿名性の原則に基づいている。合法的な用途（検閲の回避など）で使用される場合もある一方で、情報や違法な製品、ドラッグ、武器、その他の不正な対象物の売買といった犯罪行為が行われる場所でもある。

　この世界ではデータは安価で取引されている。こうしたデータは、データを効果的に保護できていない企業や、データ収集に関するガバナンスが適切ではない企業から不必要かつ大量に収集されている。情報漏えいが発生しても、被害者には1年程度の信用監視サービスが提供されるだけの場合が多い。

　残念ながら、漏えいの結果起きる問題には被害者自身が対処しなければならない。重要なことは、まず自分がインシデントに巻き込まれたこと自体を把握することだ。そして、たびたび発生するセキュリティインシデントの被害を軽減するには、アカウントのセキュリティを適切に管理し、パスワードを頻繁に変更し、また疑わしい活動に目を光らせるなどして自分を守っていく必要がある。