違反とは何かを理解する方法
最近、データ侵害のニュースをよく耳にするようになったのではないでしょうか。他のニュースと同じように。でも、データ侵害は時に奇妙な形で起こることがあります。パーカーを着たハッカーが一夜にして情報を盗むとは限らないのです。侵害には様々な種類があり、巧妙なエクスプロイトが使われるものもあれば、ずさんなセキュリティ対策による偶発的な漏洩もあります。こうしたデータ侵害の内情を理解することで、何が問題だったのか、そしてひょっとすると、どうすれば防ぐことができるのかを突き止めることができるかもしれません。
データ侵害はどのように起こるのでしょうか?
こうした違反が発生する一般的な方法を理解する
- 脆弱性の悪用:ほとんどの侵入はここから始まります。ハッカーは弱点(通常はソフトウェアのバグやサーバーの設定ミス)を見つけ、それを悪用して侵入します。これらの悪用は、古くから知られている問題である場合もあれば、さらに悪いことに、手遅れになるまで誰も気づかなかったゼロデイ脆弱性である場合もあります。
なぜ役立つのか:古いソフトウェアにパッチを適用し、既知の抜け穴を塞ぐことで、これらの攻撃の多くをブロックできます。システムを最新の状態に保たないと、攻撃の扉はほぼ完全に開かれたままになります。
適用対象:システムにしばらくパッチが適用されていない場合、またはレガシーソフトウェアを使用している場合は、リスクが高くなります。一部のエクスプロイトは非常に新しいため、アップデートがまだ追いついていない場合もあります。
予想される事態:多くの環境では、誰かが不審なアクティビティに気づいたり、データが消え始めたりして初めて、侵害が検出される可能性があります。一部のマシンでは、最初は失敗しても、再起動後やパッチ適用後に解決することがあります。少し奇妙ですが、このような抜け穴が明らかになることもあります。
- フィッシング詐欺:攻撃者はユーザーを騙して認証情報を入手します。通常、正規のメールを装った偽メールや偽のログインページが使われます。ユーザー名とパスワードを入手すれば、アカウントに侵入できます。
メリット:多要素認証(MFA)を導入し、フィッシングを見分ける方法を従業員に指導することで、フィッシング詐欺を大幅に削減できます。これは、玄関に鍵をかけながら、犯罪者が簡単に鍵を開けられないようにするようなものです。
適用される場合:見慣れない場所やデバイスからの見慣れないログインに気付いた場合、または誰かがメールでログイン情報を要求してきた場合、それはフィッシング詐欺である可能性があります。
想定される事態:フィッシングは、分かりやすい場合もあれば、非常に説得力のある場合もあります。騙されてしまうと、データが盗まれたり、最悪の場合、システムをスパイするためのマルウェアがインストールされたりする可能性があります。
内部脅威と事故
- 内部脅威:社内の誰かが(不満を抱えている、あるいは単に不注意なだけかもしれませんが)、データを漏洩したり、権限を誤って設定したりして脆弱な情報が露出してしまう場合。こうした人物は既にアクセス権を持っているため、阻止するのは非常に困難です。
なぜ役立つのか:適切なアクセス制御、監視ツール、そして定期的な監査によって、疑わしい内部関係者を摘発することができます。しかし、正直なところ、これは完全に排除するのが難しいリスクの一つです。
該当する場合:機密ファイルにアクセスすべきでない人物が突然アクセスしたり、フォルダが開いたままになっているのを見かけたら、それは危険信号です。従業員のミスやバックアップの設定ミスが漏洩の原因となる場合もあります。
予想される事態:こうした侵害は、誰かが異常な活動に気づくまで、気づかれないままに終わることがよくあります。場合によっては、誰かがバックアップデータベースを気づかずに公開アップロードしたことが侵害の原因となることもあります。
どのような種類のデータが侵害されるのでしょうか?
それは攻撃者が何を望んでいるか、何が利用可能かによって決まる
- 個人情報: ユーザー名、パスワード、個人識別情報、クレジットカード情報など、簡単に販売または悪用される可能性のあるもの。
- 企業秘密: 大企業や政府が秘密にしておきたい独自のデータや機密計画。
- 不正行為または機密文書: 場合によっては、ハッカーは単に不正行為を暴露したり、政治的な理由で証拠を集めたりしたいだけです。
ほとんどの侵入は、できるだけ多くのデータを狙っています。なぜなら、そうすることで、公開、販売、あるいは利用できるほど価値のある、あるいは信頼できる情報を見つける可能性が高まるからです。しかし、時には、特定の情報だけが危険にさらされる、標的を絞った攻撃が行われることもあります。例えば、ハッカーがログインハッシュや特定のファイルを見つけようとした後、そこから抜け出すといったケースです。
法的状況
ええ、データの盗難は、ほぼどこでも技術的には犯罪です。特に許可を得ていない場合はなおさらです。たとえ好奇心から、あるいは「社会全体の利益のため」であっても、不正アクセスは法的に問題になる可能性があります。多くの法律では「不正アクセス」の定義がかなり広範囲に及ぶため、ハッカーだけでなく、偶発的な漏洩に巻き込まれた人でさえ、深刻な問題に直面する可能性があります。
内部告発者はどうでしょうか?彼らも難しい立場にあります。データの公開が公益にかなうのであれば、ある程度の保護は受けられるかもしれませんが、ハッキングやセキュリティ回避を経なければデータを入手できないのであれば、法的には依然としてリスクの高い領域です。では、公益とは一体何でしょうか?これはしばしば見方の問題です。ハクティビストは自分たちが良いことをしていると思っているかもしれませんが、被害者はたいてい違った見方をします。
まとめ
要するに、情報漏洩とは、意図的か否かに関わらず、個人情報が安全な状態から公開された状態になったことを言い換えたに過ぎません。ハッカーは一般的に、売却したりトラブルを引き起こすために利用できるデータを狙っていますが、時にはセキュリティの不備や不運が原因となることもあります。通常、ハッカーにとって、より多くのデータを入手できれば、それだけ得策です。ただし、ハッカーにとって、その努力に見合うだけの価値がある限り、です。
まとめ
- 侵害は、エクスプロイト、フィッシング、内部者のミス、または事故によって発生します。
- ソフトウェアを最新の状態に保ち、MFA を使用すると、リスクを軽減できます。
- データの種類は、パスワードから企業の秘密ファイルまで多岐にわたります。
- たとえ意図せず情報を漏らしたとしても、法的な問題は複雑になります。