サイバー犯罪者がデータ漏えいをでっち上げ?その理由と手口について

サイバー犯罪者は、情報漏えいに関する「偽情報」を流すといった悪質な行為にも手を染めています。

より高度化したサイバー攻撃とランサムウェアを使用した攻撃の増加の影響で、今、世界中の企業にとって重大かつ深刻な問題となっているのが「データ漏えい」です。しかもこの問題は、データ漏えいをでっち上げるサイバー犯罪者の出現により、さらに複雑なものになっています。嘘の情報漏えいといった偽情報は、実被害がなかったとしても深刻な影響を及ぼします。例えば、関係する組織のブランドを著しく傷つける可能性があります。また、データ漏えいの情報が最終的にデマであることが証明されたとしても、誤った情報が最初に広まってしまうことで、ビジネスへの信用やイメージが低下する可能性があります。今回のブログでは、情報漏えいに関するフェイクニュースの本質に焦点を当てて、企業がこういったリスクをどう軽減することができるのかを解説します。

サイバー犯罪者の動機とは

LockBit、Conti、Clopなどのサイバー犯罪グループが運営するブログは、常にメディアの注目を集めています。ある意味、彼らのような「ブロガー」は、俳優やインフルエンサーに匹敵するほどの宣伝効果があるともいえるでしょう。彼らのブログは、ダークウェブやその他のシャドーウェブサイトでホストされており、一部のサイバー犯罪者は、Twitterのアカウントさえ持っています。彼らはそのようなプラットフォームを通じて企業のハッキングに関する情報を発信したり、身代金を要求したり、機密データ(業務連絡、企業アカウントのログイン認証情報、従業員や顧客に関する情報など)の公開までをカウントダウンしたりして、標的とした企業を脅迫します。さらに、犯罪者が企業データを売りに出すこともあります。特定企業への攻撃を目論む他の犯罪者が、そのような情報を購入するかもしれないからです。

LockBitのブログには、企業への攻撃に関する報告が複数掲載されており、盗んだデータの拡散をカウントダウンしている。

LockBitのブログには、企業への攻撃に関する報告が複数掲載されており、盗んだデータの拡散をカウントダウンしている。

知名度の低いサイバー犯罪者もまた、多くの人の注目を集めようと、偽の情報漏えいのニュースを拡散しようと試みます。このような話は、瞬く間に世間に知れ渡るだけでなく、標的とされたビジネスを不安に陥れ、ブラックマーケットでは「仲間」を欺き、他のサイバー犯罪者から金銭を騙し取るための材料にもなります。まだ新米で経験が浅いサイバー犯罪者が、こういった手口に引っかかる可能性があります。

ハッキングが実際に行われたかどうかにかかわらず、情報漏えいのニュースが公になれば、標的とされた企業の評判は著しく傷つけられる可能性があります。しかし、企業側が事前に偽のデータ漏えいを含むインシデントへの対応策を準備していれば(もちろん、本物のデータ漏えいにも備えていれば)、ダメージを最小限に抑えることができます。メディアがインシデントを報道し始める前に、偽の投稿を特定することは可能で、企業は迫りくる危機を積極的に緩和することができます。

解析と蓄積:利用される過去のデータベース

「嘘の」データ漏えいは、機密データを含まないオープンソースから情報を抽出する「解析された」データベースといった形をとることができます。インターネットの解析は、ウェブスクレイピングとも呼ばれ、ウェブサイトからテキスト、画像、リンク、表、その他特定の情報を抽出することを指します。犯罪者は、嘘の情報漏えいのニュースを拡散するなど悪意のある目的のために、情報を集めることができます。

2021年、ビジネス向けのSNS、LinkedInが、同様のケース(英語の記事)に遭遇しました。ユーザーのデータ一式が、ダークウェブ上で売りに出されたと報道されました。しかし、その後の調査の結果、実際には一般の人もアクセス可能なユーザーのプロフィールや他のウェブサイトから入手したデータの集合体であり、データ流出ではなかったことが判明しました。これは、ダークウェブ上のコミュニティだけでなく、メディアにも波紋を広げました。

LinkedIn、FacebookやTwitterのような人気のあるSNSから流出したデータベースを提供すると主張するダークウェブ上の投稿は、すでにネット上で一般に公開されている情報を含む、嘘の情報漏えいである可能性が高いでしょう。このようなデータベースは、ダークウェブ上に何年も残り、時折ニュースとして報道されるたびに、企業は対応を迫られることになります。

Kaspersky Digital Footprint Intelligenceによりますと、2019年から2021年半ばにかけて、ダークウェブ上でのSNSのリークに関する投稿は、毎月平均して17件ほどでしたが、前述のLinkedInの事例が発生した2021年夏以降は、投稿数が月平均65件に増加しました。また投稿の多くは、同じデータベースの情報に関するリポスト(再投稿)である可能性が高いとみられています。しかし、このような事例は、不正アクセスや実際の攻撃とは無関係で、パスワード、管理者情報、ユーザーの個人情報には含まれない情報(登録日や最終訪問日、IPアドレスなど)といった機密性の高い情報は含まれていません。とはいえ、標的にされた企業にとっては、ブランド価値の低下や企業の信用を損なうなど、何らかのマイナスの影響を受けることは確かでしょう。

SNSデータベースに言及したダークウェブ上の月別投稿数(2019年~2023年)。(出典)Kaspersky Digital Footprint Intelligence

SNSデータベースに言及したダークウェブ上の月別投稿数(2019~2023)(出典 Kaspersky Digital Footprint Intelligence)

古きは金なり:古いデータベースの再利用

過去の情報漏えいの事例は、情報漏えいの新しい(フェイク)ニュースとして利用される可能性があります。このように古いニュースを新しい情報として見せかけると、企業側に損害を与えるだけでなく、サイバー犯罪者のイメージアップにもつながります。機密情報に広くアクセスし、サイバー攻撃にも積極的に関与しているかのように振る舞うことができるためです。この手口は、潜在的な買い手やアンダーグランドで活動する犯罪者の間で地位を確立するのに役立ちます。

同様のケースは闇のコミュニティ内でも絶えず発生しています。随分昔の情報漏えいや発生の有無が不明のものについても情報が飛び交っています。数年前のデータがダークウェブのフォーラム上に繰り返しアップロードされ、「新しい」データベースを装って、無料で提供されることもあれば、有料で販売されることもあります。これは企業の悪評が広まるだけでなく、顧客の安全をも脅かします。氏名、電子メールアドレス、電話番号などの顧客情報だけでなく、すでに使われていないパスワードなどを含むデータベースも犯罪目的で使用される可能性があります。サイバー犯罪者は、このような情報をメールや音声スパム、フィッシング行為に悪用することがあります。

偽の情報漏えいのリスクを軽減するために:企業向けアドバイス

多くの企業は偽の情報漏えいに直面すると、報道機関からの問い合わせが殺到したり、SNS上でも話題になることから、必然的にパニックに陥ります。しかし、事実ではない情報漏えいを迅速に特定し、対応することは極めて重要です。取るべき最初のステップは、攻撃者との接触を避け、報告されたデータ漏えいを徹底的に調査することです。情報源を特定し、内部データを照合し、情報の信頼性を判断します。つまり企業は、攻撃と侵害を確認するため、情報を収集する必要があります。

一般的に、大企業のデータ漏えいは、偽の漏えいも含め、「もし起こったら」の問題ではなく「いつ起こるか」の問題といっても過言ではありません。このような問題に対処する際には、透明性と事前の準備が鍵となります。顧客、記者、政府機関とやりとりするためのコミュニケーションプランを事前に立てておくことは有効です。さらに、常時ダークウェブを積極的に監視することで、偽のデータ漏えいと本当のデータ漏えいの両方に関する新しい投稿を確認し、悪意のある活動数の増減を追跡することができます。ダークウェブの監視には自動化が必要であり、社内チームにはリソースも時間もないため、通常は外部の専門家が業務を担当しています。

さらに、指定されたチーム、コミュニケーションチャンネル、プロトコルを備えた包括的なインシデント対応計画を策定することは、そのようなケースが実際に発生した場合に迅速に対処するのに役立ちます。

今やデータ漏えいが企業にとって絶え間ない脅威となった時代、企業は、迅速かつ積極的な対応が求められています。インシデントをすばやく特定し、対応し、徹底的な調査を行い、サイバーセキュリティの専門家と連携し、法執行機関とも協力することで、企業はリスクを軽減し、ブランドへの評判を守り、顧客の信頼を維持することができます。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?