データ侵害事件に巻き込まれ、自分の個人情報が流出したら、どうすればいいのだろうか。この記事では、いつ、どこで情報漏洩が起きたかを把握し、適切な対策を講じる方法を紹介する。
データ侵害は、今や毎日のように耳にするセキュリティインシデントだ。あらゆる国や、業種、業界が標的とされている上に、個人はもちろん、自営業者や中小企業、非営利団体、あるいは大企業でさえ、被害者になる可能性がある。
IBMの試算では、2022年に発生したデータ侵害が企業にもたらしたコストは平均435万ドル(約5億8000万円)に上り、83%の組織が少なくとも1度はセキュリティインシデントを経験しているという。
しかし、この金額は攻撃を受けたシステムの修復、フォレンジックの実施、防御の強化、データ侵害によって生じた法的問題への対応に企業が費やすコストであって、巻き込まれた個人ユーザーのコストは含まれない。しかも、このコストは必ずしも金銭的なものだけとは限らない。
ユーザーにとってのコストは、より個人的なものとなり得る。金銭的な被害はもちろん、奪われた個人情報によってフィッシング攻撃やソーシャルエンジニアリング、なりすまし犯罪の標的になる恐れもある。
今回の記事では、データ侵害はどのように発生し、どのような影響を個人に与える可能性があるか、自分の個人情報が流出した場合、何をすべきかを紹介する。
個人情報が流出した場合、通常はデータを侵害されたサービス提供事業者から、メールや手紙で情報漏洩の発生を知らせる通知が来る。しかし残念ながら、今も多くの組織は情報漏洩の事実を隠し、自社の評判を守るために、消費者の保護よりも情報の隠ぺいを優先させる。その結果、連絡が来るまでに数週間から数カ月を要する場合もある。
データ侵害のニュースに意識して目を光らせよう。
セキュリティ専門家のTroy Hunt氏が運営する「Have I Been Pwned」は、自分が巻き込まれたことのあるデータ侵害や、流出した個人情報の範囲を知りたい場合に、まず利用したい情報源だ。
自分のメールアドレスか電話番号を入力して検索すると、同サイトのデータベースに格納されている数十億件のデータ侵害記録と照合され、入力したアドレスや電話番号を含むデータが漏洩したインシデントを教えてくれる。
検索結果に緑の画面が表示された場合は、おめでとう。主要なデータセキュリティ事故に巻き込まれた形跡はないようだ。逆に、セキュリティインシデントに巻き込まれた形跡がある場合は、自分に影響のあったデータ侵害の一覧画面が以下のように表示される。
パスワードマネージャーの中には、データ侵害の発生状況を監視し、パスワードが流出すれば知らせてくれるものがある。パスワードマネージャーは、パスワードとメールの組み合わせがインターネットに投稿されたり、ダークウェブで公開されたりした形跡がないか定期的に調べ、懸念される変化があればユーザーに警告する。
セキュリティインシデントに巻き込まれた場合は、流出したパスワードがどこで使用されているかを確認する。米CNETはこれまで、アカウントを保護するにはサービスごとに強力で複雑なパスワードを作成し、使用することを提唱してきた(パスワードマネージャーはパスワードも作成しやすい)。複数のサービスでパスワードとユーザー名を使い回していると、一カ所で侵害が発生した場合、芋づる式に他のサービスにも被害が飛び火する可能性がある。
「Experian」や「LifeLock」などの信用監視サービスも、最近はデータ侵害の監視に取り組み始めている。データ侵害はなりすまし犯罪に発展する可能性があるからだ。なりすまし犯罪は、信用レポートや信用スコアに深刻な影響を与えかねないが、通知を有効にしていなければ、ログインするかメールを自発的に確認しない限り、警告を受け取れない可能性がある。
現在では、多くの信用機関が無料または有料でデータ侵害の監視サービスを提供している。新たな情報漏洩インシデントが発見され、顧客の認証情報が漏洩したことが判明した場合、該当する顧客に通知し、迅速な対策を求める。
漏洩したデータに金融取引情報が含まれていなかったとしても、相当な量の個人情報がオンラインで入手可能な状態になっていれば、なりすまし犯罪や詐欺のターゲットになる可能性はある。
残念だが、自分の評判や財産、信用を脅かしかねない怪しい活動を把握するためには、信用監視サービスを利用する必要がある。有料サービスは利用しないという人も、無料サービスに登録することは検討した方がよい。
クレジットカード等の情報や銀行口座、契約しているデジタル金融サービスが不正アクセスを受けた場合は、サービスの提供元にすぐに連絡しよう(可能な場合はモバイルアプリ経由でカードを凍結する)。続けて、銀行や金融サービス会社に連絡をとり、疑わしい取引や不正な取引を確認してもらう。
次にすべきことは、データ漏洩の深刻度やタイプによって異なる。氏名やメールアドレスといった基本的な個人情報は、すでに何らかの形で流出している可能性が高く、ユーザー側にできることはあまりない。
しかし、オンラインアカウントの詳細情報が漏洩した場合は、パスワードがハッシュ化されているかどうかにかかわらず、ただちにパスワードを変更しよう。もし(多くの人がそうしているように)複数のプラットフォームやサービス間でパスワードを使い回している場合は、他のパスワードも一緒に変更する。
なるべく複雑なパスワードを作成しよう。覚えられるか不安な場合は、パスワードマネージャーを利用するとよい。
可能な場合は必ず、二要素認証(2FA)を有効化しよう。データ侵害に巻き込まれた場合はなおさらだ。
二要素認証は、アカウントを二重のセキュリティで守る。万が一認証情報が流出しても、メールアカウントやスマートフォンにアクセスできなければ、攻撃者はアカウントにアクセスするための認証コードを入手できない。もちろん、二要素認証も完璧ではないが、パスワードだけでプライバシーを保護するよりはましだ。
「Gmail」やMicrosoftのメールアドレスなど、「ハブ」となるアカウントには物理的なセキュリティキーを使用することを検討したい。
セキュリティキーは、現在利用可能なセキュリティ対策のなかで、最も信頼性の高い方法のひとつだ。オンラインアカウントの保護に物理的なデバイスを用いるのは後退しているように思えるかもしれないが、認証情報が盗まれたとしても、攻撃者が物理的なキーなしに新たなデバイスからログインしようとすると、アクセスは拒否される。
例えば、Googleの「高度な保護機能プログラム(Advanced Protection Program)」は、ユーザーに物理的なキーの使用を義務付けている。以前はかなり高額だったが、最近は価格が下がっているため、金銭的な負担は少ない。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」