データ漏洩

データ漏洩とは、hackers 個人情報、機密情報、機密情報に不正にアクセスするサイバーセキュリティの事象である。データ漏洩は、個人情報の漏洩(社会保障番号、銀行口座番号、クレジットカード情報など)を受けた個人だけでなく、顧客データや知的財産の漏洩に直面した企業にも影響を与える。

データ漏洩に関する最新ニュースを含む詳細は以下を参照。今回の情報漏えいの被害に遭われた方は、当社のデジタル・フットプリント・スキャナーとモニタリング・ツールで、どのような情報が漏えいしたかをご確認ください。

デジタルフットプリントスキャン

主なポイント

  • データ漏洩とは、機密情報や個人情報が許可なくアクセスされたり、公開されたりすることを指します。
  • セキュリティ侵害は、エクスプロイト、SQLインジェクション、スパイウェア、フィッシング、およびアクセス制御の設定ミスによって発生し、攻撃者がデータを盗み出すことを可能にしてしまいます。
  • 盗まれたデータには、パスワード、個人情報、金融情報が含まれることが多く、SHA-1のような脆弱なハッシュ関数が使用されている場合、犯罪者はそれらを復号化できてしまう。
  • 流出したデータは通常、Dark Web売買され、詐欺、恐喝、およびクレデンシャルスタッフィング攻撃を助長している。
  • たとえ「古い」盗難データであっても価値は失われず、ユーザーがパスワードを再利用した場合、フィッシングやセクストーション詐欺、アカウント乗っ取りを可能にしてしまいます。

BizChatについてのご意見・ご感想をお寄せください

データ漏洩とは何か?

データ侵害とは、機密情報、個人情報、保護された情報、または機密情報が不正に漏洩するインシデントのことである。このような情報漏えいは、偶発的または意図的に発生する可能性があり、外部の攻撃者または組織内の内部関係者が関与しています。盗まれた情報は、金銭的な利益のために悪用されたり、さらなる攻撃に利用されたりする可能性があり、データ侵害は個人と企業の両方にとって重大な脅威となっている。

「情報漏えいは、サイバー犯罪者がコンピューターシステムやネットワークに不正アクセスし、その中に含まれる顧客やユーザーの個人情報や機密情報、財務情報を盗み出すサイバー攻撃の結果として発生する。

データ漏洩はどのようにして起こるのか?

エクスプロイトとは、ソフトウェアのバグや脆弱性を利用した攻撃の一種で、サイバー犯罪者はこれを利用してシステムやそのデータに不正アクセスする。これらの脆弱性はシステムのコード内に隠されており、犯罪者とサイバーセキュリティ研究者の間では、どちらが先に脆弱性を発見できるかを競うことになる。

一方では犯罪者が悪用しようとし、他方では研究者がソフトウェアメーカーに悪用を報告し、バグにパッチを当てさせようとする。一般的に悪用されるソフトウェアには、オペレーティング・システム自体、インターネット・ブラウザ、アドビ・アプリケーション、マイクロソフト・オフィス・アプリケーションなどがある。サイバー犯罪グループは、複数のエクスプロイトを自動化されたエクスプロイト・キットにパッケージ化し、技術的知識がほとんどない犯罪者でも簡単にエクスプロイトを利用できるようにすることがある。

SQLインジェクション(SQLI)とは、安全でないウェブサイトのSQLデータベース管理ソフトウェアの弱点を突いて、ウェブサイトがデータベースから吐き出すはずのない情報を吐き出させる攻撃の一種である。仕組みはこうだ。サイバー犯罪者は、例えば小売サイトの検索フィールドに悪意のあるコードを入力する。検索フィールドでは、顧客は通常、"top rated wireless headphones "や "best-selling sneakers "などの検索を入力する。

ヘッドフォンやスニーカーのリストを返す代わりに、ウェブサイトはhacker 顧客のリストとクレジットカード番号を渡す。SQLIは、最小限の技術的知識しか必要としない、最も巧妙でない攻撃の一つである。Malwarebytes Labs 、「The Top 5 Dumbest Cyber Threats that Work Anyway(とにかく機能する最も間抜けなサイバー脅威トップ5)」の第3位にSQLIをランク付けした。攻撃者は、自動化されたプログラムを使って攻撃を実行することもできる。攻撃者は標的サイトのURLを入力するだけで、あとはソフトウェアがやってくれる間、のんびりと座っていればいいのだ。

スパイウェアとは、あなたのコンピュータやネットワークに感染し、あなたの情報やインターネットの利用状況、その他貴重なデータを盗み出すマルウェアの一種です。一見良さそうに見えるダウンロード(別名バンドルウェア)の一部としてスパイウェアをインストールする場合もあります。また、スパイウェアは、Emotetのようなトロイの木馬を介して、二次感染としてコンピュータに侵入することもあります。

Malwarebytes Labs ブログで報告されているようにEmotet、TrickBot、およびその他のバンキング型トロイの木馬は、スパイウェアやその他のタイプのマルウェアの配信ツールとして新たな生命を見出しました。システムが感染すると、スパイウェアはサイバー犯罪者が運営するコマンド・アンド・コントロール(C&C)サーバーにすべての個人データを送り返す。

フィッシング攻撃は、ユーザ名やパスワードのような機密情報を、通常の論理や理性に反して、ソーシャル・エンジニアリングを使って私たちの欲望や恐怖といった感情を操作することによって、私たちに共有させることで行われます。典型的なフィッシング攻撃は、取引先企業や信頼できる同僚からのメールに見せかけた偽装メールから始まります。このメールには攻撃的または要求的な表現が含まれ、支払いや購入した覚えのない商品の確認など、何らかの行動を要求されます。

提供されたリンクをクリックすると、ユーザー名とパスワードを取得するための悪意のあるログインページに誘導されます。多要素認証(MFA)を有効にしていない場合、サイバー犯罪者はあなたのアカウントに侵入するために必要なすべてを手に入れることになる。フィッシング攻撃の最も一般的な形態はEメールですが、SMSテキストメッセージや ソーシャルメディア・メッセージング・システムも詐欺師に人気があります。

アクセス・コントロールが壊れていたり、誤った設定になっていたりすると、本来は公開されるべきでないウェブサイトのプライベートな部分が公開されてしまう可能性があります。例えば、オンライン衣料品小売業者のウェブサイト管理者は、ウェブサイト内の特定のバックエンドフォルダを非公開にします。しかし、ウェブ管理者は関連するサブフォルダも非公開にすることを忘れるかもしれません。

このようなサブフォルダーは一般ユーザーにはわかりにくいかもしれないが、サイバー犯罪者はGoogle検索をうまく使えば、設定ミスのフォルダーを見つけ出し、そこに含まれるデータを盗み出すことができる。開けっ放しの窓から家の中に侵入する泥棒のように、このようなサイバー攻撃を成功させるには、それほど熟練を要しない。

盗まれたデータは暗号化されていますか?

データ漏洩の後、被害を受けた企業は顧客の恐怖と怒りを和らげようと、"はい、犯罪者はあなたのパスワードを手に入れましたが、あなたのパスワードは暗号化されています "という趣旨のことを言う。これはあまり慰めにはならない。多くの企業は、可能な限り最も基本的な形式のパスワード暗号化、つまり塩漬けしていないSHA1ハッシュを使っている。

ハッシュと塩?一日の始まりに良さそうだ。パスワードの暗号化にはあまり適していない。SHA1を使って暗号化されたパスワードは、常に同じ文字列に暗号化またはハッシュ化されるため、推測されやすくなる。例えば、"password "は常に次のようにハッシュされる。

"5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 "と "123456 "は常に "7c4a8d09ca3762af61e59520943dc26494f8941b "としてハッシュされます。

この2つは最悪のパスワードで、誰も使ってはいけないものだからだ。しかし、人々は使っている。SplashDataが毎年発表している最も一般的なパスワードのリストによると、人々はパスワードにそれほど創造的でないことがわかる。5年連続でトップ:「123456」と「password」。みんな、ハイタッチだ。

これを念頭に置けば、サイバー犯罪者は盗まれたハッシュ化されたパスワードのリストを、既知のハッシュ化されたパスワードのリストと照合することができる。復号化されたパスワードと一致するユーザー名やメールアドレスがあれば、サイバー犯罪者はあなたのアカウントに侵入するために必要なものをすべて手に入れることができる。

情報漏えいでデータが流出するとどうなるか

盗まれたデータは通常 Dark Web.その名の通り、Dark Web ほとんどの人が見ることのないインターネットの一部である。Dark Web 検索エンジンにインデックスされず、見るにはTorブラウザと呼ばれる特殊なブラウザが必要だ。では、そのマントと短剣は何なのか?

ほとんどの場合、犯罪者はDark Web 利用して様々な違法商品を取引している。これらのDark Web 、典型的なオンラインショッピングサイトとよく似ているが、ユーザーエクスペリエンスの親しみやすさは、提供されるものの違法性を裏付けている。サイバー犯罪者たちは、違法薬物、銃、ポルノ、そしてあなたの個人データを売買しているのだ。様々なデータ侵害から集められた大量の個人情報を専門に扱うマーケットプレイスは、犯罪用語でダンプショップと呼ばれている。

オンライン上で発見された盗まれたデータの既知の最大の集合体、全87GBは、あなたの電子メールがデータ侵害で漏洩したかどうかをチェックできるサイト、Have I Been Pwned(HIBP)の作成者であるサイバーセキュリティ研究者トロイ・ハントによって2019年1月に発見された。コレクション1として知られるこのデータには、既知のデータ漏洩の寄せ集めから7億7300万通の電子メールと2100万件のパスワードが含まれていた。しかし、約1億4000万通の電子メールと1000万件のパスワードは、過去に公表されたデータ流出事件には含まれておらず、HIBPにとっては新しいものだった。

サイバーセキュリティの著者で調査レポーターのブライアン・クレブスは、コレクション1に関与したサイバー犯罪者に話を聞いたところ、データ・ダンプに含まれるデータはすべて少なくとも2〜3年前のものであることを突き止めた。

古い情報漏えいの古いデータに価値はあるのでしょうか(Collection 1が売られていたパスワード1件あたり0.000002セントを超えて)?はい、かなりあります。

サイバー犯罪者は、古いログイン情報を使って、あなたのアカウントがハッキングされたかのように騙すことができます。この詐欺は、フィッシング攻撃の一部として機能することもあれば、2018年に報告したように、セクストーション詐欺として機能することもある。セクストーション詐欺師は現在、被害者のウェブカメラをハッキングし、ポルノを見ているところを録画したと主張するメールを送っている。この脅しに正当性を持たせるために、詐欺師はメールに古いデータ侵害のログイン認証情報を記載している。プロからのアドバイス:もし詐欺師が実際にあなたのビデオを持っていたら、それをあなたに見せるだろう。

サイト間でパスワードを再利用すると、危険にさらされることになります。サイバー犯罪者は、クレデンシャル・スタッフィングと呼ばれる一種のサイバー攻撃で、あるサイトから盗んだログインを使って別のサイトのあなたのアカウントに侵入することもできます。犯罪者は、データ流出から入手した電子メール、ユーザー名、パスワードのリストを使用して、他の人気サイトに自動ログインリクエストを送信し、ハッキング、窃盗、さらにハッキングの無限サイクルを繰り返します。

最大のデータ漏洩は?

誰も載りたくはないトップ10カウントダウンだ。史上最大のデータ流出10件のリストだ。このリストに掲載されている企業の多くは想像がつくかもしれないが、意外な企業もいくつかあるかもしれない。

アンダーアーマー:約1億9300万件の個人情報が流出(2025年11月)

2025年、アンダーアーマーはランサムウェアによる大規模な情報漏洩被害に見舞われ、エベレスト・グループが343GBに及ぶ社内データおよび顧客データへのアクセスを主張した。身代金の要求が受け入れられなかったため、その後、メールアドレス、氏名、電話番号、位置情報を含む約1億9300万件の顧客記録がオンライン上で流出することとなった。

その他の注目すべき情報漏洩事例:

LinkedIn:1億1700万人

2012年に発生したこのデータ漏洩事件で、サイバー犯罪者LinkedIn メールアドレスと暗号化されたパスワードを持ち去りました。パスワードは暗号化されていたから大丈夫、と思うかもしれません。しかし残念ながら、LinkedIn 先ほどお話ししたあの厄介なSHA1暗号化LinkedIn 。もし、盗まれたパスワードが解読されているのではないかと少しでも疑うなら、 Malwarebytes Labs は、ハッキングされたLinkedIn InMailフィッシングキャンペーンに利用されていると報告しています。

これらのInMailメッセージには、サイバー犯罪者がGoogleのユーザー名とパスワードを取得するために、Googleドキュメントのログインページのように偽装されたウェブサイトにリンクする悪意のあるURLが含まれていた。それでも、リクルーターが送り続ける派遣の溝掘りの仕事よりはましだ。

eBay:1億4500万

エクイファックス:1億4550万人


信用情報会社のエクイファックスは、2017年にデータ漏洩が発生したと発表した際、少なくとも米国の消費者の目には、自社の「信用」スコアが大きく傷ついたように映った。エクイファックスがソフトウェアを常に最新の状態に保っていれば、こうした事態はすべて回避できたはずだ。しかし実際には、hackers 既知のソフトウェアの脆弱性を悪用し、エクイファックスのウェブサイトを支える基盤ソフトウェアに侵入することにhackers 。

エクイファックスのデータ流出がこれほどひどいのは、規模が大きいからではない。犯人は1億4550万人のアメリカ人の氏名、生年月日、社会保障番号、住所、運転免許証番号を持ち去った。これに約20万件のクレジットカード番号が加わり、漏洩したデータの機密性という点では最悪のデータ漏洩事件のひとつとなった。

Yahoo: 3B


ヤフーは、当社の「最大規模のデータ漏洩事件」リストに2度も名を連ねた唯一の企業という、不名誉な記録を持っています。さらに追い打ちをかけるように、ヤフーはこのリストの首位にも立っています。2013年8月、サイバー犯罪者たちは世界中のヤフーユーザー全員――その数は30億人に上ります――のデータを盗み出しました。このデータ漏洩の規模の大きさは、想像を絶するものです。

世界人口の3分の1以上が影響を受けた。2016年にこの攻撃が初めて明らかになったとき、ヤフーはデータ流出の影響を受けたのは10億人のユーザーだけだと主張し、その後1年も経たないうちにその数字を「すべてのヤフーのユーザーアカウント」に変更した。このタイミングは最悪だった。ヤフーが最新のデータ流出件数を公表した当時、同社はベライゾンによる買収交渉中だった。データ流出のニュースにより、ベライゾンはヤフーを特売価格で買収することができた。ヤフーは2017年にベライゾンに買収された。

史上最大の情報漏洩」に関するニュースはこちらをご覧ください。

データ漏洩に関する法律

ニュースが流れるたびに、また新たなデータ漏洩のニュースが報じられているような気がする。データ漏えいの頻度は増えているのだろうか、それとも何か別のことが起こっているのだろうか?データ漏洩が増加している(少なくとも増加しているように見える)理由として考えられるのは、データ漏洩をどのように伝えるかに関する規制が強化されていることだ。

2000年に入ってから、世界中の政府がデータ漏洩が発生した後に企業や組織に何らかの情報開示を義務付ける法律を制定した。過去数年間、情報漏洩を起こした当事者は、データ漏洩の事実をいつまでも放置しておくことができた。

米国では、データ漏洩の開示を監督する国内法は存在しない。しかし、2018年現在、米国50州すべてにデータ漏洩に関する法律が制定されている。これらの法律は州によって異なるが、いくつかの共通点がある。すなわち、データ漏洩の中心となった組織は、以下のステップを踏まなければならない:

  • データ漏えいの影響を受けた人々に、できるだけ早く何が起こったかを知らせる。
  • できるだけ早く政府に知らせること、通常は州の司法長官に知らせることを意味する。
  • 何らかの罰金を支払う。

一例として、カリフォルニア州は2003年にデータ漏洩の情報開示を規制した最初の州である。データ漏洩の中心人物や企業は、「合理的な遅滞なく」「発見後直ちに」影響を受ける人々に通知しなければならない。被害者は最高750ドルで訴えることができ、州司法長官は被害者1人につき最高7500ドルの罰金を科すことができる。

同様の法律はEUやアジア太平洋地域でも制定されている。 Facebook 、ソフトウェアのバグによってアプリ開発者が680万人分のユーザー写真に不正アクセスしたと発表した後、EUの一般データ保護規則(GDPR)に抵触したとされる最初の大手テック企業となった。Facebook この情報漏洩を2カ月間報告しなかったが、GDPRに関する限り、これは約57日遅すぎた。その結果、同社は最大16億ドルの制裁金を支払わなければならない可能性がある。

情報漏えいでデータが流出した場合の対処法

最大のデータ漏洩のリストに掲載されているサイトやサービスを利用したことがなくても、私たちが言及していない小規模なデータ漏洩は何百件もあります。データ漏えいに対応するためのステップに入る前に、 Have I Been Pwnedにアクセスして、自分の目で確かめてみるといいだろう。自分のメールアドレスを "pwned? "の検索ボックスに入力するだけで、自分が被害に遭ったデータ流出がすべて表示される。

また、あなたのデータが、世間一般がまだ知らない情報漏えいの一部である可能性があることも注目に値する。データ漏洩が発覚するのは数年後ということもよくある。

いずれにせよ、あなたのデータが漏洩した可能性は高いし、また漏洩する可能性も非常に高い。

あなたのデータがDark Webどこかに出回っていることがわかったところで、データが盗まれたときの対処法をステップ・バイ・ステップでまとめました。

  1. メールアドレスを入力するだけで、無料のデジタルフットプリントスキャンを実行できます。
  2. 漏洩したアカウントと、同じパスワードを共有している他のアカウントのパスワードをリセットする。しかし、サイト間でパスワードを再利用すべきではありません。無料のパスワード・ジェネレーターを使って、強力でユニークなパスワードを作りましょう。パスワード・マネージャーには、なりすましのウェブサイトにアクセスしたときに警告してくれるという利点もある。GoogleやFacebook ログインページは本物かもしれませんが、パスワード・マネージャーはURLを認識せず、ユーザー名とパスワードを入力してくれません。
  3. クレジット口座を監視する。 不審な動きはないか。annualcreditreport.comで、毎年3つの主要信用情報機関から1つずつ、無料の信用報告書を入手することを忘れずに。これは、無料で信用報告書を入手できる唯一の米国連邦取引委員会公認のサイトである。
  4. クレジット・フリーズを検討しよう。 クレジット・フリーズは、あなたの信用情報へのアクセスを制限することで、あなたの名前でクレジット・ラインを開設することを困難にします。凍結はいつでも解除・停止できる。唯一面倒なのは、凍結を行ったり解除したりするには、各信用情報機関に個別に連絡しなければならないことだ。
  5. 受信トレイを注意深く見てください。 情報漏えいの被害者数百万人が、ハッキングされたアカウントに関する何らかの連絡を期待していることを、好機をうかがうサイバー犯罪者は知っています。このような詐欺師は、ハッキングされたアカウントから送信されているように見せかけたフィッシングメールを送信し、個人情報を引き出そうとします。フィッシングメールの見分け方はこちらをご覧ください。
  6. 信用監視サービスを検討しよう。 申し込むべきか?データ漏洩の後、被害を受けた企業や組織が被害者に無料の個人情報盗難監視サービスを提供することがよくある。LifeLockなどのサービスは、誰かがあなたの名前でクレジットラインを開設した場合に通知してくれますが、そもそもあなたのデータが盗まれるのを防ぐことはできません。結論-サービスが無料なら、申し込めばいい。そうでなければ、よく考えよう。
  7. 多要素認証(MFA)を使う。 二要素認証は、MFAの最も単純な形式です。つまり、あなたがパスワードと、あなたのアカウントをハッキングしようとするサイバー犯罪者ではなく、あなたが本人であることを証明するための他の1つの認証形式が必要です。例えば、ウェブサイトは、ログイン認証情報を入力し、携帯電話にテキストで送信される別の認証コードを入力するよう求めるかもしれない。

データ漏洩を防ぐには?

データビーチに関連する罰金、クリーンアップ費用、弁護士費用、訴訟、さらにはランサムウェアの支払いなど、その額は莫大なものになる。2018年のPonemonCost of Data Breach調査によると、データ侵害の平均コストは約390万ドルで、前年より6.4%増加した。盗まれた記録1件あたりのコストは148ドルで、前年比4.8%増だった。同調査によると、データ漏洩の可能性は4件に1件と高い。

データ・セキュリティに積極的に取り組み、情報漏えいを未然に防ぐことは理にかなっていると思いませんか?あなたのビジネスとデータを安全に保つためのベストプラクティスをご紹介します。

データ・セグメンテーションの実践。フラットなデータ・ネットワークでは、サイバー犯罪者はネットワーク上を自由に動き回り、貴重なデータを1バイト単位で盗むことができます。データ・セグメンテーションを導入することで、犯罪者の動きを鈍らせ、攻撃時の時間を稼ぎ、漏洩データを制限することができる。データ・セグメンテーションは、次のヒントにも役立ちます。

最小特権の原則(PolP)を実施する。PolPとは、各ユーザー・アカウントが、その仕事を行うのに十分なアクセス権のみを持ち、それ以上のアクセス権は持たないことを意味します。1つのユーザー・アカウントが侵害されても、サイバー犯罪者がネットワーク全体にアクセスすることはありません。

個人情報保護ソフトウェアに投資しましょう。私たちはあなたの個人情報を監視し、あらゆるリスクを警告します。

以下のような信頼できるサイバーセキュリティ保護をインストールする。 Malwarebytes Premium.不幸にも悪意のあるリンクをクリックしたり、不正な添付ファイルを開いてしまった場合でも、優れたサイバーセキュリティプログラムが脅威を検出し、ダウンロードを停止して、マルウェアがネットワークに侵入するのを防ぐことができます。

Dark Web上のSSN

フィッシング

ソーシャル・エンジニアリング

よくあるご質問

データ漏洩とは何か?

データ漏洩はどのようにして起こるのか?

データ漏洩では、どのような情報が盗まれるのでしょうか?

情報漏洩が発生した後、私のデータはどうなるのでしょうか?