セキュリティ侵害とは何か

多くの人にとって、生活の基本的な活動のほとんどが、今やオンラインで行われています。ショッピング、銀行取引、旅行の計画からエンタテインメントやデートまで、仕事やプライベートを円滑に進めるためにデジタルの世界に移行する人が増え続けています。人々は、デジタル ツールが、個人情報やデータ、そしておそらくは個人の秘密を、自分だけのものとして安全に保護してくれると信じています。

しかし、オンライン アカウント、アプリケーション、コンピュータ システムに、莫大な量の個人情報や金融情報が保存されるようになったことで、これらはセキュリティ侵害の格好の標的となり、攻撃者が、システムを侵害し、顧客アカウントにアクセスしてデータを収集し、不正行為などのサイバー犯罪を行うための扉を開けようとしています。さらに企業にとってこうした侵害は、規制による罰金、法的責任、評判の低下、顧客の信頼の喪失につながりかねません。

セキュリティ侵害は、脆弱なパスワード、マルウェア、フィッシング、ランサムウェア、ソーシャル エンジニアリングなど、進化するさまざまな脅威や脆弱性に起因します。機密情報は犯罪者にとって大きな価値を持つことから、個人と組織にとって、個人のプライバシーと機密性の高い情報を保護するためにはデータ セキュリティ対策の導入が不可欠です。ダークWebは、ユーザー名、パスワード、クレジット カード番号、その他の金融データが売買され、個人情報の盗難や不正行為の目的で利用される市場です。

セキュリティ侵害の脅威は現実です。Enterprise Apps Todayによると、39秒ごとに1件の侵害が世界のどこかで発生しており、2022年だけでサイバー犯罪による損害は推定6兆ドルに上ります。

セキュリティ侵害は、セキュリティ管理が突破されたり、回避されたりした場合に発生します。世界最大手の強力な企業は定期的にサイバー犯罪者の標的となっています。実際、金融機関、eコマース企業、政府機関は、そのサイトに膨大な個人データや財務データを保持しているため、最もよく狙われています。

個人や組織は、その規模の大小を問わず、セキュリティ侵害やサイバー攻撃のリスクにさらされています。ハッカーやサイバー犯罪者には、強力な国益や企業利益を背景としている者もあり、際限なく創意工夫を凝らし、既存のセキュリティ対策を突破する新たな方法を考え出します。これにより、機密情報や個人情報を盗み出し、その情報が競争上の利益のために販売または操作されたり、不正行為や、個人情報の盗難、誤った情報の拡散に使用されたりする可能性があります。

ニュース サイトのsecureworld.ioによると、これまでで最も重大なデータ侵害には次のようなものがあります。

• Yahoo（2013年～2014年）：攻撃者がフィッシング攻撃を使用してYahooのネットワークに侵入し、30億件を超えるユーザー アカウントが漏洩しました。侵入者は、名前、メール アドレス、生年月日、電話番号、暗号化されたパスワードなどの機密情報にアクセスしました。Yahooは、証券取引委員会から3,500万ドルの罰金、連邦証券集団訴訟による8,000万ドルの和解金に加え、2016年のVerizonへの売却時に買収額を3億5,000万ドル減額することを余儀なくされました。2017年3月、FBIは4人をこの攻撃で起訴しましたが、これにはロシア連邦保安局（FSB）の幹部2人が含まれていました。
• Equifax（2017年）：攻撃者は、米国の消費者1億4,700万人の個人情報を入手しました。この情報には、名前、社会保障番号、生年月日、住所、さらに一部には運転免許証番号が含まれていました。この個人情報に加え、この侵害により約209,000人の顧客のクレジット カード番号も流出しました。攻撃者はWebサイト アプリケーションの脆弱性を通じてEquifaxネットワークにアクセスし、さらに、システムのセグメンテーションが不十分であったため、侵入者はシステム内で簡単に横方向に移動することができました。この侵害は深刻な影響を及ぼし、消費者の信頼を喪失し、法的調査、訴訟、規制当局からの罰金、議会公聴会へと発展しました。さらに、Equifaxは、データ侵害の被害を受けた人々を救済するために推定7億ドルを支払いました。2020年、米国司法省はEquifaxでのサイバー攻撃に関連して中国の軍事支援を受けたハッカー4人の起訴を発表しました。
• Marriott International（2014年～2018年）：名前、住所、電話番号、パスポート番号、メール アドレス、旅行情報、さらに一部には支払いカード番号を含む、約5億件の宿泊客記録が侵害されました。この攻撃は、Marriottが2016年にStarwood Hotels and Resortsを買収し、Starwoodの予約システムをMarriottのシステムに統合した際に始まりました。Starwoodのシステムは（おそらくStarwoodの従業員から盗まれた資格情報を使用して）少なくとも2014年には侵害されており、すぐにMarriott Internationalグループのすべての施設が感染しました。英国情報コミッショナー オフィス（ICO）は、Marriottに2,380万ドルの罰金を科しました。米国当局は、Marriottが米国政府と軍の関係者が利用する主要なホテル提供企業であることから、このサイバー攻撃は中国の情報収集活動の一環だったと主張しています。
• T-Mobile（2022年～2023年）；攻撃者がAPIを操作して、3,700万件のユーザー アカウントを侵害し、顧客名、請求先住所、メール アドレス、電話番号、口座番号、生年月日を入手しました。侵害が明らかになるまでの1か月以上にわたってT-Mobileのシステムに不正アクセスを行っていた攻撃者は特定されていません。

セキュリティ侵害にはいくつかの種類があり、それらは攻撃者がシステムにアクセスするために使用する手法に特徴があります。

• マルウェア攻撃は、犯罪者がセキュリティ侵害を開始するために使用する一般的な手法です。マルウェアの多くは、悪質なメールの添付ファイルを通じて拡散され、多くの場合、フィッシング攻撃の一環として、受信者を騙してリンクをクリックさせたり、マルウェアを含む添付ファイルをダウンロードさせたり、偽のログイン ページに誘導したりします。マルウェアは、感染したWebサイトとの接続や侵害されたソフトウェアのダウンロードによって起動されることもあります。マルウェアは、キー入力を記録したり、ユーザーの行動を監視したり、攻撃者がネットワークにアクセスするための「バックドア」アクセス ポイントを作成したりするなど、データ侵害につながるさまざまな機能を実行するように設計されている場合があります。その他の種類のマルウェアには、保存されたログイン資格情報を収集したり、機密認証データを盗み出したりするものもあり、攻撃者はそれを使用してアカウントやシステムに不正アクセスします。また、マルウェアはデータを流出させ、盗んだデータを攻撃者が制御するリモート サーバに送信して、不正なデータ流出や潜在的なデータ漏洩を引き起こす場合もあります。ランサムウェア攻撃も、被害者のデータを暗号化してアクセスできなくするマルウェアの一種であるため、セキュリティ侵害につながる可能性があります。暗号化プロセスで、攻撃者は被害者のデータにアクセスし、多くの場合、身代金を支払わなければ被害者の機密データを公開したり、ダークWebで販売したりすると脅迫します。この場合、ランサムウェア インシデントは、侵害された情報が権限のない個人に公開されるデータ侵害となります。
• ソーシャル エンジニアリング攻撃は心理操作を利用して人を騙して機密情報を開示させたり、セキュリティを侵害する行動や意思決定をさせたりするものです。場合によっては、攻撃者が同僚や、上司、IT担当者などの信頼できる個人になりすまして、被害者に機密データを共有させたり、ユーザー名、パスワード、その他の認証資格情報を開示させたりします。攻撃者はこの情報を使用して、システム、アカウント、機密データに不正にアクセスすることができます。ソーシャル エンジニアリング攻撃では、フィッシング手法を使用して個人を操り、通常は行わない行動やデータ開示を行わせることがよくあります。
• ソフトウェアの悪用では、ソフトウェア、ファームウェア、システム構成の脆弱性や弱点を利用して、コンピュータ システムやネットワーク内で不正アクセス、データの操作、悪質なアクションなどを行います。古いソフトウェアやパッチが適用されていないソフトウェアが、システムの悪用の入口として一般的に使用され、さらに権限昇格攻撃やリモート コード実行の悪用につながる場合もあります。

データ侵害による被害は、次のように深刻で広範囲に及ぶ可能性があります。

• 経済的損失：インシデント対応、弁護士費用と訴訟、規制当局による罰金、影響を受けた当事者への補償に関連する費用による損失です。
• 評判の低下：侵害が公表されることで評判が低下し、ブランドに長期的な損失を与える可能性があります。
• 信頼の喪失：侵害により企業のデータ保護能力に対する信頼が損なわれ、顧客（およびパートナー）が取引関係を結ぶことを躊躇し、ロイヤルティの喪失と顧客離れにつながる可能性があります。
• 法規制上の影響：企業は、EUの一般データ保護規則（GDPR）や米国のHealth Insurance Portability and Accountability Act（HIPAA）などのデータ保護に関する法規制の不遵守により、法的措置や規制上の罰金を科される可能性があります。

潜在的な損害を最小限に抑え、効果的に対応するには、セキュリティ侵害の兆候を早期に認識することが重要です。以下は、セキュリティ侵害が進行中であることを示す可能性のある一般的な兆候です。

• ネットワーク トラフィックの急増、異常なデータ転送、帯域幅使用量の予期しない急増などの異常なネットワーク アクティビティは、不正アクセスやデータ流出の兆候である可能性があります。
• 原因不明のシステム ダウンタイム、パフォーマンスの低下、頻繁なクラッシュなどの予期しないシステム動作は、マルウェアや不正なアクティビティの存在を示している可能性があります。
• 見慣れないユーザー アカウント、異常なログイン時間、ログインの失敗が繰り返されるなど、不審なアカウント アクティビティは、侵害や不正アクセス試行の兆候である可能性があります。
• データの紛失や改ざん、重要なデータベースや機密情報への不正アクセスを示すログなど、データの異常や不正アクセスは、セキュリティ侵害の兆候である可能性があります。

セキュリティ侵害を防ぐには、次のベスト プラクティスを含め、サイバーセキュリティに対するプロアクティブかつ包括的なアプローチが必要です。

• 強力なパスワード ポリシーを実施する。誕生日、名前、一般的な単語など、推測しやすい情報の使用を制限し、大文字と小文字、数字、記号のランダムな文字列を組み合わせたパスワードの使用を徹底します。長く覚えやすいが、解読が難しいパスフレーズの使用を推奨することも検討してください。
• 多要素認証（MFA）を導入する。MFAは、アプリケーション、リソース、オンライン アカウント、その他のサービスにアクセスするために、2つ以上の認証要素を提示するようユーザーに求めます。一般的には、スマートフォンやブラウザに送信されるメールやテキストに記載されているワンタイム パスコードの入力や、指紋や顔認識などの生体認証要素の提示を行います。
• ソフトウェアとシステムを定期的に更新する。既知の脆弱性に対処するには、オペレーティング システム、ソフトウェア アプリケーション、セキュリティ パッチを最新の状態に保ちます。セキュリティ更新プログラムと修正プログラムを迅速に適用するための堅牢なパッチ管理プロセスを開発します。
• ネットワーク セグメンテーションを導入する。大規模なネットワークをより小さな独立したセグメントに分割することで、アクセスが制御された個々のゾーンやサブネットワークが構築され、セキュリティが強化されて、セキュリティ侵害の潜在的な影響を軽減できます。この方法は、重要な資産を隔離し、攻撃対象を減らし、ネットワーク内の横方向の動きを制限して侵害を封じ込めるのに役立ちます。
• 暗号化とデータ保護を採用する。転送中と保存中の機密データをどちらも暗号化して、不正アクセスから保護します。厳格なアクセス制御や最小権限の原則などのデータ保護ポリシーを実施することで、不正なデータ アクセスのリスクが軽減されます。
• インベントリAPIとサードパーティ スクリプト。APIエンドポイントとサードパーティの統合を動的に検出し、それらがリスク管理プロセスに組み込まれ、適切なセキュリティ管理で保護されていることを確認します。

• フィッシングの試みを認識する。従業員がフィッシング メールや悪質なリンクを認識できるように教育して、データ侵害につながるフィッシング詐欺に遭う可能性を減らします。
• 強力なパスワードについて教育する。強力なパスワードと堅牢なパスワード ハイジーン管理の重要性について従業員を教育します。
• 疑わしいアクティビティを報告する。従業員に、不審なアクティビティや潜在的なセキュリティ インシデントを速やかに報告するよう指導することで、より迅速に対応し、影響を軽減できるようにします。定期的にトレーニングを実施すると、従業員は新たなリスクとその認識方法について常に最新の情報を得ることができます。

• 組織のセキュリティ体制を定期的に評価する。侵入テスト、脆弱性スキャン、セキュリティ監査を利用して、攻撃者が悪用する前にシステム、アプリケーション、ネットワーク内の弱点を特定して対処します。脆弱性評価は、放置するとセキュリティ侵害につながる可能性のある設定ミスを特定するのにも役立ちます。

• インシデント対応計画を策定する。この計画は、潜在的なサイバーセキュリティ インシデントを特定して対応するための構造化されたプロアクティブなアプローチを提供することで、セキュリティ侵害を軽減する上で重要な役割を果たします。
• ステークホルダーと役割を特定する。ステークホルダーを特定し、役割と責任を明確にして、インシデントの報告とエスカレーションのための明確な指揮系統を構築します。侵害を封じ込めて軽減するための段階的な手順を詳細に策定し、計画を定期的にテストして弱点を特定し、対応を改善します。
• 事業継続および災害復旧（BCDR）戦略を策定する。BCDR計画は、セキュリティ侵害などの混乱に直面しても、重要な事業運営を確実に継続できるようにするためのものです。データ侵害やデータ破損が発生した場合にデータを以前のクリーンな状態に確実に復元できるようにするために、BCDR計画に不可欠な要素が定期的なデータ バックアップです。BCDR計画の有効性を確認し、企業が弱点を特定して対応戦略を改善できるようにするため、すべてのBCDR計画を、訓練や演習を通じて定期的にテストする必要があります。

人工知能は、強力な新しいツールと機能を提供し、それらはセキュリティ侵害の検出と防止に活用できます。特に、AIを活用したボット対策を導入すると、攻撃者が防御策をどのように回避しようとしても、耐久性のあるテレメトリ収集や行動分析を行い、緩和戦略を変えることで、レジリエンスを維持できます。AIアルゴリズムが、ユーザーがいつもと違う時間に、または違う場所から機密データにアクセスするといった、侵害行為を示す可能性のある異常や、信号を偽装してダークWebで得た侵害されたデータを使用する試みなどを検出します。

不審なアクティビティを自動的にブロックしたり、警告したりするようにこれらのシステムに指示することができ、事前に定義した対応措置の開始や侵害されたシステムの隔離など、インシデント対応計画の一部の要素を自動化して、侵害の拡大を最小限に抑えることもできます。AIを活用したセキュリティ システムは新しいデータから学習し、変化する脅威の状況に適応するため、侵害を検出する精度は時間の経過とともに向上して進化し、動的な脅威環境においてその重要性を維持します。

またAIテクノロジーは、大量のデータを分析し、異常なパターンをリアルタイムで検出できるため、これらのシステムは手動やルールベースの脅威検出プログラムよりも迅速かつ正確に脅威を特定して対応できます。

AI主導のセキュリティ ソリューションは、脅威の検出と防止に大きなメリットをもたらしますが、アラートを検証し、複雑なデータや情報を解釈する人間の専門知識と組み合わせることで、最も効果を発揮します。AIセキュリティ モデルは誤検知や検知漏れを引き起こす可能性があり、特に複雑で新しい脅威に対処するには、人間の判断と監視による警戒が必要です。

米国連邦取引委員会（FTC）は、組織がセキュリティ侵害に直面した場合に検討すべきインシデント対応策についてガイダンスを提供しています。これらの手順は、組織がセキュリティ インシデントに効果的に対応し、克服できるように設計されています。セキュリティ侵害への対処に関するFTCガイダンスの概要は、次の行動で構成されています。

• 運用環境を保護する。さらなるデータ損失を防ぐため、迅速に行動してシステムを保護し、侵害対応チームを直ちに動員します。これには、影響を受けたシステムの隔離、侵害されたアカウントの無効化、さらなる不正アクセスを防ぐためのその他の措置などが含まれます。
• 脆弱性を修正する。フォレンジックの専門家と協力して、侵害を引き起こした脆弱性を特定して対処します。今後のインシデントを防ぐために、ソフトウェア、システム、構成にパッチを適用して更新します。現在ネットワークにアクセスできるユーザー（サービス プロバイダを含む）を分析し、そのアクセスが必要かどうかを判断し、必要ない場合はアクセスを制限します。
• 適切な関係者に通知する。法執行機関に通知して、状況と個人情報盗難のリスクの可能性を報告します。侵害の性質に応じて、影響を受ける個人、顧客、クライアントにインシデントを通知します。影響を受ける個人に、何が起こったのか、どのようなデータが漏洩したのか、身を守るためにどのような措置をとるべきかについて、わかりやすく正確かつ透明性のある情報を提供します。