「データ漏えい」の構造とは?
- 事前調査:標的となる企業や組織を選定した後、サイバー犯罪は、まずその組織や企業に関連する人物やシステム、ネットワークなどに関して、何らかの弱点や盲点がないかを探るための「事前調査」を行ないます。この場合、ターゲットとなった企業の従業員や社内インフラなどが徹底的に調べ上げられます。
- 攻撃:サイバー犯罪者は、実際の攻撃行為に際しては、ネットワークを上の盲点を利用して行なう場合や、その他のソーシャルエンジニアリングの手口などを駆使して行なう場合とがあります。
- ネットワークを介した攻撃:この場合、サイバー犯罪者は、ターゲットとなった企業の社内インフラ、システム、アプリケーション等の弱点を突いて社内ネットワークに侵入する場合や、SQLインジェクションや、脆弱性利用、セッションハイジャックなどの手法を駆使してターゲット企業の社内ネットワーク内に侵入する場合などがあります。
ソーシャルエンジニアリングを駆使した攻撃:この場合は、フィッシングサイトに誘導するためのメールを送信したり、マルウェアが添付されたスパムメールを送信したりといった典型的な手口が用いられます。また、場合によっては、オフィスの清掃員などに変装してターゲットとなる企業の敷地内に侵入するという直接的な方法が用いられる場合もあります。「怪しまれないように相手を油断させる」という意味では、これも、ソーシャルエンジニアリングと似た手口ともいえるでしょう。 - データの入手:ターゲットの企業から収集されたデータがサイバー犯罪者の手に渡った段階です。収集されたデータは、その企業独自の機密情報であり、サイバー犯罪者は、多くの場合、このデータを別の攻撃のために活用したり、ターゲット企業のネットワークのさらに深い部分へ侵入するために利用したりします。
- 悪意をもった社員:自分が勤務する企業に対して恨みなどを抱き、企業へ損害を及ぼすことを意図して、重要なデータを持ち出し、何らかの不正行為などに悪用するという場合。
- 紛失や盗難:仕事で使用しているノート型パソコンやモバイル機器が紛失したり盗難に見舞われたりした場合、その中に保存されている重要なデータも結果的に外部へ漏えいすることになります。
- マルウェアの感染:社員が使用しているコンピュータやモバイル機器、リムーバブルドライブ等が、情報収集型のマルウェアに感染し、それらから企業のネットワークへの侵入が発生した場合、結果的に企業の重要データが漏えいしてしまうことになります。
- 誤って共有してしまう:社員がちょっとした会話などで自身が勤務している企業の重要情報を漏らしてしまうという場合。もしくは、そうした情報が含まれた所持品を公共の場に置き忘れてしまうという場合。また、こうした会話や置き忘れは、ソーシャルネットワーキングサイト上のページなどでも発生する可能性もあります。
- パッチ処理と更新:企業で使用している全てのソフトウェアおよびハードウェアについてパッチ処理と更新を確実に行っておくこと。これは、オペレーティングシステムに限らず、企業で使用している全てのソフトウェアやアプリケーション、そして全てのコンピュータに関して言えることです。
- 社員教育:巧妙なソーシャルエンジニアリングの手口の被害に見舞われないためにも、社員への教育は徹底しておくことです。「データ漏えい」などの攻撃に際しては、「狙われない社員などいない」という点も肝に銘じておくべきです。
- セキュリティ対策:厳格なセキュリティ対策を導入し、常にその更新を怠らないこと。こうした対策を利用して、企業内ネットワークのどこに脆弱性が存在するか、どの部分が攻撃されやすいかなどをチェックするプロセスを構築すること。セキュリティに関する監査を定期的に実施し、企業内ネットワークに接続するすべてのコンピュータをチェックしておくこと。特にセキュリティに関しては、「各箇所に必要以上のアクセス権限は付与しない」という「最小権限の原則」を導入すること。規模の大きな企業の場合は、専属のセキュリティ部門を設置することも有効となります。規模の小さい企業であるため、専属部門の設置や維持がコスト的にも難しい場合は、外部への委託サービスも考慮すべきでしょう。実際にセキュリティ侵害やデータ流出の被害を受けた場合の損害を考えれば、こうした投資を惜しむべきではありません。
- 監視体制の導入:セキュリティ侵害の検知や防止を行なうシステムによる監視体制を導入すること。ファイアウォールを構築して、こうした監視体制下でログなどのモニタリングを行ない、何か異常があれば直ぐに察知できるスタッフも養成しておくこと。
- 障害復旧体制の構築:万が一に備えて、データ漏えいの被害に見舞われた際の連絡先や、担当者、周知手続き、緩和措置などを設定しておくこと。これにより、混乱を最小限に食い止めることができます。また、データ漏えいが発生した場合の対応方法を社員に教育しておくことも不可欠です。
- 「総合的なアプローチ」の導入:上述のとおり、「外部からの侵入を多層的な防壁で守る」という発想からのウイルス対策だけでは不十分であり、そうしたネットワークを取り囲む各層への防御だけでなく、(企業の内外に存在する)データそのものを確実に守ることができるアクセス管理や暗号化、セキュリティポリシーの施行といった対策の導入が必要となります。
- 支払い明細等の確認:銀行口座の明細や請求書等は必ず定期的に確認すること。万が一、見覚えのない処理や変更等を確認した場合は、直ちに該当の銀行に問い合わせること。
- セキュリティソフトのインストール:ご使用のコンピュータに関しては、ファイアウォールを有効化し、必ずセキュリティソフトをインストールしておくこと。また、インストールしたセキュリティソフトは忘れずに更新しておくこと。
- 自動更新の有効化:ご使用のすべてのソフトウェアに関しては、常に最新のセキュリティパッチが施されている状態にしておくこと。そうしたソフトウェアの中には、自動更新機能が備わっているものもあるので、その場合は、必ずその機能を有効化しておくこと。たとえば、Windows Update の自動更新機能の場合、この機能を有効化しておけば、セキュリティ上の更新があった際、直ちに自動的に更新が実施されます。また、手動でしか更新できないソフトウェアの場合も、どのソフトウェアがそうであるかを確認しておき、必ず定期的にそのソフトウェア提供元のサイトを確認し、更新関連のリリースがされていないかとチェックしておくこと。
- 異なったユーザID・パスワードの利用:複数のアカウントをご使用の場合、それぞれに応じて異なったユーザID・パスワードを作成したり、異なった組み合わせ利用したりすること。全てのアカウントに同一のユーザID・パスワードを利用していると、万が一、この情報がサイバー犯罪者の手に渡った場合、全てのアカウントが一度に被害を受けてしまう恐れがあるからです。こうした工夫により被害を最小に抑えることができると共に、万が一の場合も、全てのアカウントのユーザID・パスワードを一度に変更しなければらないという事態を避けることもできます。
- 送信元を信用しないこと:いかなるメールに関しても、その送信元を安易に信用しないことです。標的型のフィッシングメールの場合、信頼のおける送信元を装うことが往々にしてあるからです。受信したメールに関して、少しでも不審な点を感じたら、そのメール内のリンクは絶対にクリックしないことです。また、添付ファイルがある場合も、絶対に開かないことです。どうしてもリンクをクリックしたり添付ファイルを開いたりする必要がある場合は、送信元に直接確認してからにすること。
- 最新の脅威状況に精通しておくこと:こうした点に関する知識を深めておくことは、「データを確実に守る」という点からも非常に重要なポイントとなります。どのような手口が使われ、どのような事例が発生しているか等、常に最新の脅威状況に精通しておき、コンピュータを安全に利用するための対策を怠らないようにしなければなりません。