‹ Cybersecurity 101に戻る

データの流出

Amber Boehm - 10月 6, 2023

データの流出とは

データの流出とは、デバイスやネットワークからデータを盗み出したり、不正に転送したりすることです。Mitre ATT&CKフレームワークでは、次のように説明しています。「攻撃者は、多くの場合データを収集するとパッケージ化してから削除することで検知されないようにしている。このとき、圧縮と暗号化が行われている。」

データの流出はどのように発生するのか。

データの流出は、ユーザー認証情報、知的財産、企業秘密を盗み出すために、ネットワークに侵入した部外者が実行します。部外者は、マルウェアを企業ネットワークに接続しているコンピューターやモバイルデバイスなどのエンドポイントに挿入することで攻撃を開始します。マルウェアは部外者が管理している外部サーバーにデータを流出させ、そのデータを販売したり公開する可能性があります。

また、データの流出は、内部者がデータを個人のメールアドレスに送信したり、セキュリティ保護されていないクラウドストレージやSoftware as a Service(SaaS)製品にコピーしたりすることでも発生します。これらのアクションの多くは、従業員がその業務を適切に行おうとして実行されますが、これにより、セキュリティチームの監視や企業ポリシーからデータが除外され、データがリスクにさらされます。

2024年版クラウドストライクグローバル脅威レポート

クラウドストライクのCounter Adversary Operationsチームによる最前線の調査に基づき、クラウドストライク2024年版グローバル脅威レポートではサイバー脅威の状況全体にわたる注目すべきテーマ、トレンド、イベントを取り上げています。

今すぐダウンロード

一般的なデータの流出技術

ソーシャルエンジニアリング

ソーシャルエンジニアリングは、最も一般的なデータ抜き出し方法の1つです。攻撃者は、正式な従業員やパートナーになりすまして、機密データまたは認証情報を共有するようユーザーを欺きます。たとえば、攻撃者はヘルプデスクの担当者を装って、ユーザー名やパスワードなどの機密情報をユーザーに尋ねます。

一般的なソーシャルエンジニアリング攻撃の1つにフィッシングがあります。フィッシング攻撃では、攻撃者は人事部などの正規の組織の部署からと思えるメールを送信します。このメールは、ユーザーにリンクをクリックするよう求めます。このリンクをクリックすると、被害者は正規の人事ポータルにそっくりの偽サイトに誘導されます。この偽サイトは、認証情報を収集するために作られています。また、サイトのコードに悪意のあるスクリプトが含まれており、キーロガーやその他のマルウェアがインストールされ、フィッシング攻撃の次の段階が実行される可能性があります。

人的エラー

不注意な社員により、会社支給のデバイスから、従業員のネットワークセキュリティソリューションポリシーで保護されていない個人のデバイスに会社の機密データがダウンロードされることがあります。このため、データは完全に保護されていないか、基本レベルの個人向けセキュリティツールによってのみ保護されている状態になります。この状況では、データの流出は、ファイルの移動のみならず、スマートフォンで撮影したモニター画面の写真や、スマートフォンで録音した会話なども対象になります。

内部者による外部デバイスにアップロードされる脅威

悪意のある内部者は、不注意な社員ほど多くありませんが、このような内部者は多大な損害を与える可能性があります。悪意のある内部者は、正式な認証情報を使用して、検知されない限り非常に長期間にわたり不正な活動を行えます。このユーザーは正式な認証情報を持っているため、そのデータの流出攻撃は、大量の貴重なデータを移動したり、権限を越えるシステムの一部にアクセスしようとしたりしない限り、発覚することはありません。この活動中、悪意のある内部者は、一般的に信頼できるデバイスから個人デバイスやUSBメモリーにデータをダウンロードし、そのデータをダークウェブにあるストレージサービスなどの外部デバイスにアップロードし、販売したり拡散したりします。

データの流出の防止

データ侵害の検知にかかる時間に関する統計は、憂慮すべき結果を示しています。データの流出の検知は、特に攻撃者が利用するデータの流出が、通常のネットワークトラフィックが発生しているように見える場合に、困難であることがわかります。

企業が確立できる最も重要な防御に関する活動は、また最も困難な活動でもあります。つまり、社員教育です。多くの企業では、必須の定期的なセキュリティ認識トレーニングを実施していることと思いますが、ほとんどの従業員は自分が攻撃対象になる可能性は低いと考えています。企業は、組織全体でセキュリティ文化の成長を促し、従業員が信頼できる最前線の防護壁として活動できるようにする必要があります。

個人所有デバイスの持ち込み(Bring Your Own Device:BYOD)ポリシーを整えて、すべての従業員に対して明確にする必要があります。特に現在は、リモートワークに移行していることにより、従業員は子供のゲーム機からWindows 8タワーまであらゆる種類の個人用デバイスを使用して重要なデータにアクセスできます。ネットワークを監視し、誰がログインし、どのようなデバイスが使用されているかを監視することは、情報漏洩を防ぐために必要なだけでなく、ユーザーがどのようにしてネットワークを利用しているかを理解し、将来の計画を策定するためにも必要です。

内部者の脅威を制御するために、正規のものと悪意あるもの両方について、権限を制御します。これは、最低限の権限を付与することを意味します。権限を動的に制御することで、ある従業員が機密システムにアクセスできる理由が有効ではなくなると、その従業員はアクセスできなくなります。その後、雇用が終了した時点で元従業員の権限を体系的に取り消します。古いアカウントが消去されるまで1~2週間待つ必要はありません。

GET TO KNOW THE AUTHOR

アンバー・ベーム(Amber Boehm)は、ワシントン州シアトルを拠点とするクラウドストライクのデータ検知と対応の製品マーケティング担当ディレクターです。