悪意のあるハッカーの手口が巧妙化し、自動化されたサイバー犯罪キットが容易に手に入るようになり、オンラインサービスやインターネットに接続する人の数が増えている今、企業サーバーから流出するデータが増加していることは、驚くにはあたりません。
まだデータ漏えいに関する通知を受け取っていない人も冷静に。いずれ届きます。近いうちに、受信トレイを開いたときや、お気に入りのオンラインクーポンサイトのホームページにアクセスしたときに、何者かがサーバーに侵入してデータを盗んだという発表を目にすることでしょう。
データ漏えいは、情報化時代にオンラインで事業を営む上での代償の 1 つです。漏えいの通知は、ユーザーのオンラインサービスプロバイダーの1つが所有するデータベースに、悪質なハッカーが侵入してデータを盗んだことをユーザーに知らせます。多くの場合、このような通知には盗まれたデータの種類が記載されています。よく盗まれるのは、氏名、誕生日、暗号化されたパスワード、メールアドレス、電話番号など、個人を特定し得るさまざまな情報です。深刻なケースでは、ハッカーが企業サーバーに侵入し、企業秘密、社会保険番号、医療記録、国家機密、支払いデータといった機密情報を盗みます。お金に関する情報などが流出して、なりすましが可能となる恐れがある場合は、無料のクレジットモニタリングを提供する企業もあります。ほぼすべての企業が事件の重大性を軽く見せようとしますが、皮肉なことに、自社にとって顧客の個人情報がどれほど重要か、セキュリティについてどれだけ真剣に考えているかを、必死に伝えています。
最初にとるべき対応としては、通知文を読み、漏えいしたデータが及ぼすであろう影響を分析してください。支払いデータのように非常に機密性の高い情報やお金に関する情報が漏えいした場合は、何らかのクレジットモニタリングサービスに入会するのがいいでしょう。業界標準では、侵入を受けたサービスは深刻なデータ漏えいから約1年間、無料のクレジットモニタリングを提供するのが一般的です。それに加えて、クレジットカードや銀行明細にも注意しましょう。お金に関するデータが漏えいすることはめったにありませんが、暗号化されていない金融データが盗まれるのはさらにまれです。企業が支払いデータなどの機密性の高い情報を平文で保存していることが判明した場合は、利用をやめた方がいいでしょう。支払いデータを平文で保存することほど、「客のことなど気にしていない」ということをはっきり示すものはないからです。
ほとんどの消費者にとって、お金に関するデータの漏えいは実際に最悪のケースのシナリオです。企業や政府は、データ漏えい事件で企業秘密、国家機密、恥ずかしい内容のメールが流出することを非常に恐れるようになりました。この記事では主に消費者について取り上げていますが、Threatpostでは企業サイドでのデータ漏えい対策に関する優れた記事を掲載しています。興味のある方はご覧ください。
漏えい通知の大半は、ハッシュされたパスワードが侵入によって流出したことを知らせるものです。平文のパスワードが漏えいすることはほとんどありません。平文が意味することはご想像のとおり、データを盗んだ者がユーザーのパスワードをそのまま手に入れることを意味します。漏えいの通知に「パスワードがハッシュされていた」と書かれていた場合は、攻撃者の手に渡ったのが暗号化されたパスワードだということです。パスワードが平文で保存されていた場合、影響のあるサービスのパスワードを変更してください。また、同じパスワードを使用しているサービスもすべて、直ちに変更しましょう。繰り返しますが、パスワードを平文で保存している企業のアカウントを保持することも考え直すべきです。パスワードがハッシュされていても、そのパスワードや使い回しているパスワードを一刻も早く変更する必要がありますが、攻撃者がパスワードハッシュを意味のある形にすることは、不可能ではないにしても極めて困難になります。
データ漏えいは報道されているよりはるかに頻繁に発生しているという現実的な前提に立って行動し、アカウントパスワードを数か月おきに変更するのが一番です。特定のパスワードを長く使用すればするほど、悪用される可能性も高まります。複数のアカウントで使用している場合はなおさらです。EvernoteやDropboxのように漏えいを認める企業もありますが、漏えいの事実を隠ぺいする企業も同じくらい、あるいはそれ以上に多いのです。
さらに、データ漏えいをなかったことにすることはできません。一度情報が流出してしまえば、永遠に世に出ることになります。常に警戒するのが一番ですが、侵入によって集められるデータの大半は、フィッシング詐欺師が餌に使うものなので、漏えいの後はフィッシング攻撃に注意する必要があります。ソーシャルエンジニアは、氏名、メールアドレス、誕生日など、一見害のなさそうな漏えいデータを使って、個人や集団を標的とするフィッシング攻撃、スピアフィッシング、Water-Holing(水飲み場型攻撃)を仕掛けます。
情報漏えいがあった後、オンラインサービスプロバイダーは2 要素認証や「全面HTTPS化」などの新しいセキュリティ機能をサービスに実装するものです。こうしたものを見逃さず、利用できる最も厳格なセキュリティ機能を常に適用するよう心がけましょう。機密情報が含まれるアカウントでは特に注意が必要です。Google、Microsoft、Apple、Adobe などの大手ソフトウェアベンダー、ブラウザーメーカー、オペレーティングシステムベンダーの動向を注視してください。大手ソフトウェア企業は漏えい事件への対応として、セキュリティ更新や、漏えいの被害を軽減するための推奨事項を発表します。