データはあらゆる組織にとって最も重要な資産です。しかし同時に、最大の負債でもあります。データの盗難、つまり情報の不正な抜き取りは、あらゆる規模の企業に大きなリスクをもたらします。多額の金銭的損失から、重大な混乱やダウンタイム、訴訟、規制当局による罰金に至るまで、データ盗難がもたらす影響は甚大です。しかし、これは組織だけの問題ではなく、消費者を含む利害関係者のエコシステムにも影響を及ぼします。
この投稿では、Vadeの脅威アナリストが、悪徳業者によって個人記録がどのように販売され、流出するのか、その舞台裏を探ります。
データ漏洩:データ盗難の前兆
当然のことながら、データ盗難はデータ漏洩に続くものです。データ漏洩とは、機密情報が第三者によって不正にアクセスされ、取得されることです。データ漏洩は、ハッカーがアカウントを侵害し、保護されたネットワークに侵入した後に多く発生します。
IBMの「Cost of a Data Breach Report 2023」によると、データ侵害のコストと頻度は歴史的な指標を上回り、意図的な被害者を新たな時代へと導いています。2023年のデータ侵害の世界平均コストは445万ドル(米ドル)に達し、過去最高を記録しました。情報漏えいを容易にするために使用された最初の攻撃ベクトルの中で、フィッシングは最も高い価格タグを持ち、この期間中、被害者は平均490万ドルの費用を負担しています。標的となったのは大企業だけではありません。
従業員数500人以下の組織では、2023年のデータ漏洩の平均コストは前年比13.4%上昇し、331万ドル(米ドル)に達しています。
消費者にとっては、これらの出来事の下流への影響が特に強く感じられています。アップルが最近発表した報告書によると、企業や組織によるデータ漏洩の被害者は、2023年の最初の8ヶ月間で3億6,000万人を超えました。流出したと推定されるアカウント数が最も多かったのはロシアで1000人あたり49件、次いでフランス(25件)、米国(24件)でした。
IBMによると、医療データ漏洩は組織と消費者にとって最もコストのかかる種類のもので、1組織あたり平均1100万ドル近くかかります。2023年第3四半期だけで、データ漏洩により全世界で640万件以上の医療記録が流出しました。
データ漏洩:データ盗難の一般的な結果
データ漏えい、つまり盗んだ情報を公的または私的なネットワーク上で不正に共有することは、盗まれたデータの典型的な後遺症です。
そしてデータ漏洩は驚くほど簡単に発見できます。
インターネットで「リーク」と検索するだけで、誰でも盗まれた記録が売りに出されているのを見つけることができます。潜在的な被害者にとっては危険なことですが、新たな悪意のあるツールによって、ハッカーはこれまで以上に簡単に機密情報を見つけることができるようになっています。
Vadeの研究者は最近、ハッカーに最新のデータ流出からのリークのフィードを送信するTelegramチャンネルを発見しました。これにより、ハッカーはダイレクトリンクを通じて、すべてのリーク情報に便利かつタイムリーにアクセスできるようになります。
タ盗難 - 自動流出 テレグラム・チャンネル
同時に、インターネット・フォーラムはデータ漏洩への無料および有料アクセスを提供しています。下の画像は、メキシコとフランスの3つの組織のデータ流出です。
テキストメキシコの銀行データ流出
テキストフランス企業のデータ流出
テキストフランス企業のデータ流出
これらの例が示すように、ハッカーは盗まれたデータを入手するためにダークネットに出向く必要はありません。ノートパソコンとインターネット接続さえあれば、誰でも簡単に利用できるツールを使うだけです。
データ流出:詐欺師が詐欺に遭うとき
データ漏えいは、悪意ある行為者にとって儲かるビジネスとなっています。ハッカーが仲間を騙そうとすることも珍しくはありません。盗まれた本物のデータを販売することは、インターネットの暗部では依然として一般的ですが、捏造された記録についても同じことが言えます。
その証拠となるのが、Europcarをめぐる最近の事件です。ハッカーたちはデータ流出サイトに広告を掲載し、同社の顧客5000万人分の個人情報を盗んだと主張しました。彼らはその証拠としてサンプルを添付しました。Europecarによると、データ漏洩は見せかけであったことが判明しました。同社は、サンプルのデータは同社の顧客記録のどれとも一致せず、少なくとも個人情報の一部は捏造されたものだと主張しました。例えば、いくつかの顧客の住所や郵便番号は存在していませんでした。
今回のケースでどのように記録が作成されたかは不明ですが、ハッカーが偽データを作成するために使用できる方法は数多くあります。その中には、ソフトウェア開発者が合法的なアプリケーションのテストに使用する、大規模で関連性の高いデータセットを生成するために使用するツールを悪用することも含まれます。また、理論的には偽のデータを作成することが可能な生成的AIの使用も含まれるかもしれません。
それでもなお、虚偽のデータ流出という行為は、ハッカー志願者や標的とされた組織にとって重要な意味を持ちます。後者は、顧客を安心させ、情報漏洩が起きたかどうかを検証し、虚偽の主張に公に対処する必要に迫られるかもしれないからです。
データ盗難:組織を守るには?
データの価値と侵害に対する脆弱性は、機密情報が容易に共有され、容易にアクセスできる地下市場を生み出しました。多くの場合、組織化された悪意のある行為者は、個人情報の窃盗、金融詐欺、恐喝を含む様々な犯罪行為のために、これらの機密データを悪用しています。ダークウェブは、サイバー犯罪者が情報、ツール、さらには専門的なサービスを交換できる数多くのフォーラムを提供しています。
企業にとって、データ漏洩に伴うリスクは重大です。顧客データ、財務情報、知的財産が漏洩し、事業継続を脅かす深刻な問題に発展する可能性があります。機密情報にアクセスする一般的な手法であるフィッシングは、攻撃者が正当な事業体になりすまして機密情報を入手するソーシャル・エンジニアリング攻撃を伴うことが多く見受けられます。
組織として、データ保護プロトコル、従業員向けのセキュリティ意識向上トレーニング、フィッシング防止ソリューションなど、強固なサイバーセキュリティ対策を実施する必要があります。高度な脅威検知技術の導入と継続的な監視は、疑わしい活動を迅速に特定し、リスクを軽減するために極めて重要です。最終的に、データ保護は企業にとって主要な優先事項であるべきで、データを悪用することの価値を認識した脅威環境の永続的な脅威に対して常に警戒する必要があります。
