あなたの会社がデータ侵害を受けたことを最近知りました。 ハッカーがビジネス サーバーから個人情報を盗んだり、インサイダーがクライアント情報を盗んだり、会社の Web サイトで情報が誤って公開されたりした場合、次に何をすべきか疑問に思っていることは間違いありません。
個人情報が侵害された場合、何をすべきか、誰に通知する必要がありますか? この記事では、これらの質問に対する回答と、データ侵害を防ぐ方法、データ侵害の結果、およびいくつかの注目すべき例を紹介します.
データ侵害とは?
データ侵害とは、機密データ、機密データ、またはその他の保護されたデータが不適切にアクセスまたは開示されるサイバー攻撃です。 小規模企業から大企業まで、あらゆる規模の組織でデータ侵害が発生する可能性があります。 個人の健康情報 (PHI)、個人を特定できる情報 (PII)、企業秘密、およびその他の機密情報が含まれる場合があります。
クレジット カード番号、社会保障番号、運転免許証番号、医療記録などの個人情報は、顧客リストやソース コードなどの企業情報と同様に、データ侵害にさらされることがよくあります。
データ侵害の標的となるのは?
意図しないエラーが原因でデータ侵害が発生する可能性がありますが、不正アクセスを持つ人物が個人を特定できる情報 (PII) を盗んで販売したり、 ビジネス・インテリジェンス 金銭的利益または損害を与えるためのデータ。
悪意のある犯罪者は単純なパターンに従います。侵害の対象となる企業には、高度な計画が必要です。 彼らは被害者について調査を行い、アップグレードの欠落や失敗、フィッシング戦術に対するスタッフの脆弱性などの弱点を特定します。
ハッカーはターゲットの弱点を特定し、内部関係者をだましてマルウェアをダウンロードさせるキャンペーンを考案します。 彼らは時々ネットワークを直接標的にします。
内部に侵入すると、危険なハッカーは探しているデータに完全にアクセスできます。また、侵害を特定するのに平均 XNUMX か月以上かかるため、十分な時間をかけてアクセスできます。
悪意のある攻撃者は、次の脆弱性を頻繁に悪用します。
#1。 弱い認証情報。
データ侵害の大部分は、クレデンシャルの盗難または侵害が原因です。 悪意のある泥棒がユーザー名とパスワードを取得すると、ネットワークにアクセスできます。 ほとんどの人は自分のパスワードを再利用するため、サイバー犯罪者はブルート フォース攻撃を使用して、電子メール、Web サイト、銀行口座、およびその他の個人を特定できる情報や財務情報のソースにアクセスできます。
#2。 盗まれた認証情報。
フィッシング関連のセキュリティ侵害は重大な懸念事項であり、サイバー泥棒がこの個人情報を入手すると、それを使用して銀行やインターネット アカウントなどにアクセスする可能性があります。
#3。 侵害された資産
通常はコンピューターを保護する標準的な認証手段を回避するために、さまざまな種類のマルウェア攻撃が使用されます。
#4。 クレジットカードの不正利用。
カード スキマーは、ガス ポンプまたは ATM に取り付けられ、カードが通されたときにデータを取得するデバイスです。
#5。 第三者からのアクセス。
ネットワークとデータを安全に保つための最善の努力にもかかわらず、悪意のあるハッカーがサードパーティのプロバイダーを悪用してシステムにアクセスする可能性があります.
#6。 携帯電話。
従業員が自分のデバイスの持ち込み (BYOD) を許可されている場合、安全でないデバイスは、ハッカーがデバイスに保存されたデータにアクセスできるようにするマルウェアを含むプログラムを簡単にダウンロードできます。 これには、仕事用の電子メールやファイル、所有者の個人を特定できる情報が含まれていることがよくあります。
データ侵害の原因は?
常にそうであるとは限りませんが、データ侵害は外部のハッカーの結果であると想定されています。
場合によっては、データ侵害の原因が意図的な攻撃にまでさかのぼることがあります。 ただし、従業員による単純なエラーまたは企業のインフラストラクチャの弱点の結果である可能性があります。
今日のサイバー エコシステムでは、データ侵害の原因として次のことが考えられます。
#1。 意図しないデータの漏洩または露出。
構成の誤りやデータの判断ミスは、攻撃者にチャンスを与える可能性があります。
#2。 データの移動
暗号化されていないデータは、ビジネス ローカル エリア ネットワーク内、ワイド エリア ネットワーク、または XNUMX つ以上のクラウドへの移動中に傍受される可能性があります。 組織は、統一されたクラウド セキュリティとエンド ツー エンドのデータ暗号化を実装することで、データ保護を強化できます。
#3。 マルウェア、ランサムウェア、または構造化クエリ言語
システムまたはアプリケーションへのアクセスを取得すると、マルウェアおよびマルウェア関連の動作 (SQL インジェクションなど) が実行される可能性があります。
#4。 フィッシング。
フィッシングでは、マルウェアを使用してデータを盗むことがよくありますが、さまざまな方法を使用して情報を取得し、それを利用してデータ アクセスを取得することもできます。
#5。 分散型サービス拒否 (DDoS)。
攻撃者は、DDoS 攻撃を使用してセキュリティ管理者の気をそらし、他の手段でデータにアクセスできるようにすることができます。 さらに、組織が攻撃に対抗するために行った変更により、構成ミスが発生し、データ盗難の可能性がさらに高まる可能性があります。
#6。 キーストロークが記録されています。
このタイプの悪意のあるソフトウェアは、コンピューターで行われたすべてのキーストロークを記録し、それを利用して、データへのアクセスに使用できるユーザー名とパスワードを盗みます。
#7。 パスワードの推測。
無制限のパスワード試行が許可されている場合、または単純なパスワードが受け入れられている場合、パスワード クラッキング ツールを使用して、システムやデータへのアクセスを取得できます。 パスワード管理プログラムは、ユーザーが複雑なパスワードを管理し、資格情報を整理して一元的に保護するのに役立つ XNUMX つのアプローチです。
#8。 物理的セキュリティの侵害。
機密データが格納されている物理的な場所やネットワークにアクセスできるようになると、企業に重大な損失や損害が発生する可能性があります。
#9。 カード スキマーと POS への侵入。
ユーザー中心の攻撃では、クレジット カードまたはデビット カードの情報を読み取り、それを使用してセキュリティ メカニズムを侵害または回避します。
#10。 ハードウェアの置き忘れまたは盗難
無人またはセキュリティで保護されていないハードウェアは、データを盗むための単純でローテクな手法を提供します。
#11。 社会的操作。
サイバー犯罪者は人間の操作を使用して、システムやプロセスへの不正アクセスを取得します。 これらの脅威は通常、コミュニケーション プラットフォームやコラボレーション プラットフォームを標的にしていますが、最近ではソーシャル メディアでの ID 盗難も標的にしています。
#12。 アクセス制御の欠如。
存在しない、または時代遅れのアクセス制御は、XNUMX つのシステムの侵害につながる明らかなアクセス ポイントであり、ラテラル ムーブメントのリスクが追加されます。 すべてのシステムとアプリケーションに多要素認証 (MFA) を実装していないことは、アクセス制御の欠如の一例です。
#13。 バックドア。
文書化されていない方法でアクセスすることは、故意であろうと意図的であろうと、データ損失につながることが多いセキュリティ上の懸念事項です。
#14。 インサイダーの危険。
サイバーセキュリティの問題の多くは、ネットワークやシステムにアクセスしたり、それらの知識を持っている内部ユーザーによって引き起こされます。 これが、ユーザーの行動を追跡することが非常に重要である理由です。
データ侵害の結果
多くのデータ侵害は、パスワードを変更するだけでは修復できません。 データ漏洩は、評判、財務、およびその他の資産に長期的な影響を与える可能性があります。
- 企業向け: データ侵害は、企業の評判だけでなく、財務上の収益にも壊滅的な影響を与える可能性があります。 たとえば、Equifax、Target、Yahoo はすべてデータ侵害の被害者です。 そして、多くの人は現在、実際の会社の運営ではなく、データ侵害の問題のためにそれらの組織を関連付けたり、覚えています.
- 政府機関の場合: 破損したデータは、機密情報を外国の関係者に公開することを意味する場合があります。 軍事作戦、政治交渉、および重要な国家インフラに関する情報はすべて、政府とその市民にとって重大な脅威となる可能性があります。
- 個人の場合 個人情報の盗難は、データ侵害の被害者にとって重大な危険です。 データが漏洩すると、社会保障番号から銀行の詳細まで、あらゆる情報が漏洩する可能性があります。 犯罪者があなたの情報を入手すると、あなたの名前であらゆる種類の詐欺を犯す可能性があります。 個人情報の盗難は、あなたの信用を損ない、法的なトラブルに巻き込まれる可能性があり、反撃するのは困難です。
これらは一般的なシナリオですが、データ侵害によって引き起こされる損害は、これらをはるかに超える可能性があります。 そのため、データがすでに侵害されているかどうかを調査することが重要です。
もちろん、自分を守るための最大の方法は、そもそも被害者にならないようにすることです。 完璧なセキュリティ プランはありませんが、個人であろうと企業であろうと、自分自身を守るために実行できる手順があります。
データ侵害の被害者になるのを防ぐためにできること
エンド ユーザーから IT 従業員まで、またその間にいるすべてのレベルのすべての人が、データ侵害の防止に関与する必要があります。
データの侵害や漏えいを防止することに関して言えば、セキュリティは最も弱いリンクと同じくらい優れています. システムを操作するすべての人は、脆弱性になる可能性があります。 ホーム ネットワークに接続されたタブレットを使用している小さな子供でさえ、脅威をもたらす可能性があります。
ここでは、データ侵害を回避するためのベスト プラクティスをいくつか紹介します。
- パッチ適用とソフトウェア更新ソフトウェアが利用可能になり次第、実装します。
- 機密データの最高レベルの暗号化。
- 製造元のソフトウェアがサポートされなくなった場合のデバイスのアップグレード。
- すべてのデバイスがビジネス グレードの VPN プロバイダーとウイルス対策保護を使用することを義務付けるなど、BYOD セキュリティ規制を実施します。
- ユーザーのサイバーセキュリティ行動を改善するには、強力な資格情報と多要素認証を適用します。 パスワードマネージャーを利用するよう人々に勧めることは有益です。
- 適切なセキュリティ手順とソーシャル エンジニアリング攻撃を回避する方法に関する従業員教育。
データ侵害後に軌道に乗る方法
データ侵害が発見された場合、データが潜在的に復元され、さらなる侵害が制限されるようにするために、時間が重要です。 違反に対応する場合、次のアクションをガイドとして使用できます。
#1。 影響を受けるシステムまたはネットワークを特定して隔離します。
サイバーセキュリティ技術は、企業がデータ侵害の範囲を特定し、影響を受けるシステムまたはネットワークを企業インフラストラクチャの他の部分から分離するのに役立ちます。 これらのソリューションは、悪意のあるアクターがネットワーク内を横方向に移動できないようにするのにも役立ち、より多くのデータが公開される可能性があります。
#2。 状況のリスク評価を形式化します。
この段階では、まだ存在している可能性があるユーザーまたはシステムに対する二次的な脅威を特定する必要があります。 ユーザーまたはシステム アカウントの侵害、および侵害されたバックドアがその例です。 フォレンジック ツールとスペシャリストは、システムとソフトウェアを収集して分析し、何が起こったのかを判断できます。
#3。 システムを復元し、セキュリティ上の欠陥に対処します。
この段階では、影響を受けたシステムを再構築し、クリーンなバックアップまたは真新しいハードウェアまたはソフトウェアを使用して可能な限り回復します。 このプロセスには、侵害後のリスク評価中に発見されたセキュリティの弱点に対処するためのセキュリティ更新プログラムまたは回避策も含まれます。
#4。 影響を受ける人に通知します。
システムとソフトウェアが再び運用可能になったら、次のステップは、すべての関係者にデータ侵害と、データ盗難に関して関係者に何を意味するかを通知することです。 このリストは手元のデータによって変わります。 ただし、多くの場合、次のものが含まれます。法務部門。 従業員、顧客、およびパートナー。 クレジット カード会社および金融機関。 サイバーリスク保険会社。
#5。 学んだ教訓を追跡します。
違反から得られた情報と知識は、後で参照できるように書面で保存し、関係者がどのような過ちを犯したかを理解して二度と起こらないようにするために、完全に文書化する必要があります。
データ侵害の例
Verizon の 2022 年版「データ侵害調査レポート」によると、銀行業務でデータ侵害が最も多く確認されており、情報サービス、製造、教育がそれに続きます。 近年、大企業や政府機関の両方で大規模なデータ侵害が数多く発生しています。
#1。 コロニアル パイプライン会社
米国の大規模な石油パイプライン オペレーターである Colonial Pipeline は、2021 年 XNUMX 月にランサムウェア攻撃に屈し、石油の流れを監視するために使用される自動化された運用技術に影響を与えました。 このインシデントは、東海岸の XNUMX を超える州に影響を与え、完全に修復するのに数か月を要しました。ただし、会社は身代金を支払って、盗まれた重要なデータとソフトウェアを復元し、動作不能のままにしていました。
#2。 マイクロソフト
Microsoft は 2021 年 60,000 月に、世界中の XNUMX の企業に影響を与えた大規模なサイバー攻撃の標的になったと報告しました。 このシナリオでは、ハッカーが Microsoft Exchange の多数のゼロデイ脆弱性を悪用しました。 盗まれた電子メール サーバーを使用したユーザーは電子メールを公開され、ハッカーはマルウェアとバックドアを埋め込み、無意識のうちに組織や政府をさらに攻撃しました。
#3。 ソニー・ピクチャーズ エンタテインメント
ソニー ピクチャーズ エンタテインメントの企業ネットワークは、攻撃者がワークステーションとサーバーを無効にするマルウェアを展開した後、2014 年後半にシャットダウンされました。 ハッカー組織である Guardians of Peace は、データ侵害の責任を主張しました。 ギャングは、ソニーのネットワークから押収した未公開の映画と、企業幹部からの私的な通信をアップロードしました。
ガーディアンズ・オブ・ピースは北朝鮮と関係があると疑われており、サイバーセキュリティの専門家と米国政府は最終的にデータ侵害を北朝鮮のせいにした.
侵害の間、ハッカー ギャングは、ソニーの 2014 年のコメディー The Interview に対して脅迫を行ったため、同社は劇場公開をキャンセルしました。 この映画の筋書きは、架空のバージョンの北朝鮮の指導者キム・ジョンウンの殺害を中心に展開されました。
#4。 目標
Target Corp. は、2013 年に重大なデータ侵害が発生し、顧客名とクレジット カード情報が流出したと発表しました。 Target のデータ侵害は 110 億 XNUMX 万人の顧客に影響を与え、その結果、顧客、州政府、およびクレジット カード プロバイダーから複数の訴訟が提起されました。 法的和解は、会社にとって合計数千万ドルに達しました。
- ビジネスのためのインターネットセキュリティ:2023年の最良のオプションとレビュー
- 受託者責任の違反: 定義、例、出訴期限
- リモートワークセキュリティの脅威:何を知っておく必要がありますか
- サイバー セキュリティ認証: 2023 年に知っておくべき最良のヒント
- IDENTITY & ACCESS MANAGEMENT TOOLS: 定義、最高かつ無料の ID & アクセス ツール
参考文献
