近年、PCやタブレット、スマホなど多様な端末、クラウドサービスが広く利用されるようになり、それに伴い情報漏洩のリスクも増大している。また、情報漏洩の大半は、確認不足や不注意などで起きたヒューマンエラーによるものであるが、マルウェアや不正アクセスによるものも深刻化している。さらに、SNSやWeb会議といった様々なクラウドサービスから、メールアドレスをキーとしたアカウント(メールアドレス/ID・パスワード)の漏洩事件が後を絶たない。大学や企業、団体などの職員や従業員が使用しているアカウント(メールアドレス/ID、パスワード)は、それらのクラウドサービスでも使用するケースがあり、パスワードも使いまわしされていることが多く、クラウドサービスからのアカウント情報漏洩を、大学や企業、団体のシステムでは防ぐことができない。そのため、情報漏洩に関わるインシデント(事件・事故)を未然に防ぎ、リスクを低減させることのできる、アカウント漏洩情報の検知サービスの必要性が高くなっており、メールセキュリティ対策を推進していくためのサービスとしても期待されている。
近年、PCやタブレット、スマホなど多様な端末、クラウドサービスが広く利用されるようになり、それに伴い個人情報が漏洩するリスクも増大している。様々なクラウドサービスでは、アカウント(メールアドレス/ID、パスワード)と共に多くの個人情報が登録されているため、アカウントが情報漏洩すると多大な被害を受ける可能性が高く、大学や企業、団体のシステム管理者にとっても情報漏洩のリスクは切実な問題である。
日本ネットワークセキュリティ協会(JNSA)が発表した「2018年 情報セキュリティインシデントに関する調査報告書」でも、情報漏洩の原因として「紛失・置忘れ」が116件(26.2%)ともっとも多く、「誤操作」が109件(24.6%)、「不正アクセス」が60件(20.3%)、「管理ミス」が54件(12.2%)と報告されている。
情報漏洩の大部分を占めるのは、確認不足や不注意が原因のヒューマンエラーによるものである。ヒューマンエラーの中では、メールの誤送信、シュレッダーにかけずに重要情報を破棄するなどの管理ミスが目立つ。
不正に取得したアカウント(メールアドレス/ID・パスワード)を使って、アクセス権保持者になりすましたり、ソフトウェアの脆弱性を悪用して侵入したり、あるいはマルウェアなどコンピュータウイルスに感染させることで情報を取得したりと、その手法は様々である。
業種別にみた場合、同調査では「教育,学習支援業」の情報漏洩件数が増加傾向にあると報告されている。
2017年にマルウェアの一種であるランサムウェアが大流行した。2018年には大学において、PCやファイルサーバーがランサムウェアに感染したことで、業務で使用しているファイルや端末内のデータが暗号化されて使用できない状態になるなどの被害が報告されている。
ランサムウェアの大流行と同時期に、不正アクセスによる事件も目立つようになり、大学の事件事例もいくつか報告されている。具体的な事例として、情報搾取や管理者アカウント奪取により約7万件の情報漏洩が発生した事件、ウェブサイトの改ざん、メールシステムへの不正アクセスによる外部のメールアドレス宛に約36万通の迷惑メールを送信された事件などが報告されている。
情報漏洩はセキュリティ対策の強化が叫ばれている中でも、「twitter」や「adobe」、「Dropbox」、「LinkedIn」、「Myspace」、「Zoom」などSNSやWeb会議などの様々なクラウドサービスからメールアドレスをキーとした、アカウントの情報漏洩が後を絶たないのが現実である。
また、サイバー攻撃(ハッキング)により膨大な件数のアカウントが外部に情報漏洩し、サイバー空間上で拡散され、ユーザーのなりすましによる不正アクセスが引き起こす事件が増大している。
メールアドレスのパスワードの使いまわし率は、国内・海外ともに高い。(パスワードの使いまわし率:日本 8割以上、米国 6割以上)
トレンドマイクロが実施した、パスワードの利用や管理の実態を調べる「パスワードの利用実態調査 2017」により、複数のWebサービスでパスワードを使いまわしているユーザーは85.2%と、大半のユーザーがパスワードを使いまわしていることがわかった。
Googleと市場調査企業Harris Pollが提携し、米国でパスワードセキュリティの調査を行った結果、回答者の66%は、複数のオンラインアカウントで同じパスワードを使用していることがわかった。
"use the same password for more than one online account 66%"
引用元 "The United States of P@ssw0rd$ Google / Harris Poll | October 2019"
そして職場で発行されたメールアドレスは、職場のシステムのアカウントとして利用するだけではなく、業務上必要な外部の様々なクラウドサービスのアカウントとしても利用するケースが増えている。
情報漏洩したアカウント(メールアドレス/ID、パスワード)は、ダークウェブ上で公開または取引されている。もし、悪意のある者にアカウント(メールアドレス/ID、パスワード)を入手されてしまうと、該当者本人の個人情報(クレジットカード情報なども含む)が盗まれ不正利用されるだけではなく、本人になりすましてマルウェアを拡散されたり、職場のシステムに不正侵入されるなど、大学や企業、団体などが直接被害を受ける可能性がある。そして、IDに職場のメールアドレス、使いまわされているパスワードで、アカウント登録している外部のクラウドサービスからアカウントの情報が漏洩してしまうと、職場のシステムへの不正ログインを防ぐことができなくなる。ちなみに、「ダークウェブ(Dark Web)とは、普段利用しているGoogleやYahooなどのWeb検索エンジンなどではなく、特定の接続方式(ソフトウェア、設定、認証など)が必要なサイトである。GoogleやYahoo、ニュースサイトなど一般公開された誰でもアクセスすることのできるサイトは「サーフェスウェブ(Surface Web)」、Gmailや非公開のソーシャルメディアなど限られた人がアクセスできるサイトは「ディープウェブ(Deep Web)」と言われている。
公開されていて誰もが利用可能なオープンな情報を情報源にして、合法的に機密情報を収集し、分析する手法であるOSINT(Open Source Intelligence)を活用し、インターネット上で公開されている情報から漏洩の有無を調べ、被害状況を把握する技術が着目されている。
アカウントの情報漏洩は、その事実を素早く捉え迅速に対処しなければ、不正アクセス等により甚大な事件に発展する可能性がある。つまり、アカウントの情報が漏洩した本人にタイムラグなく漏洩したことを通知し、バスワード変更やアカウントの停止をするなどの対策が求められる。個人が対策できるものでは有料の「ノートン ダークウェブ モニタリング「Powered by LifeLock」や無料の「Have I Been Pwned」、「Firefox Monitor」などのサービスがある。しかし、それらのサービスでは大学や企業、団体などで使用しているドメインやアカウントの管理、漏洩時の対応も含め組織的に利用できるかは疑問である。
2020年4月に発覚した、Web会議サービス「Zoom」でのアカウント情報漏洩事件のように、情報漏洩したアカウントがダークウェブで公開、売買され、そこから二次被害が発生している現実を鑑みると、OSINTを活用してアカウントの漏洩を素早く検知、認識し、パスワードの変更やアカウント停止などの対策を速やかにとることができれば、アカウント情報漏洩が引き起こす事件を未然に防ぐことができる可能性は極めて高くなる。
そして大学や企業、団体などの組織において、アカウント情報漏洩が引き起こす事件を未然に防ぐためには、運用管理の手間や煩雑さのない、利便性の高いクラウド型のアカウント漏洩情報検知サービスを利用するメリットは高い。
既に、アカウントの情報漏洩を知ることのできるサービスがいくつか存在しているとは言え、それらは大学や企業、団体など組織レベルの規模で運用できるのだろうか。大規模な組織レベルに対応した、年間数千万円ものサービスやセキュリティコンサルティングの一環として提供されているものであれば可能かもしれない。しかしそれらを利用するには、かなり潤沢な予算があることが前提となる。一方で、大学・企業、団体など組織レベルで導入しやすい、リーズナブルな価格で運用の手間がかからない、アカウント情報漏洩を検知し、本人への通知を代行してくれる、クラウド型アカウント漏洩情報検知サービスが国内ベンダーからリリースされた。
OSINTを活用し、月5万円から利用できるクラウド型アカウント漏洩情報検知サービス「SPC Leak Detection」である。
OSINTを活用したクラウド型アカウント漏洩情報検知サービス「SPC Leak Detection」
詳しいサービスの内容は、上記のサービス紹介ペーシを見てほしい。アカウント漏洩情報を検知した段階で該当者本人へ即座に通知する機能など含め、大学や企業、団体などの組織レベルで導入・運用しやすく、利便性の高いサービスとなっている。(Freeで利用可能な教育機関向けAcademic Editionや評価版も用意されている)
情報漏洩の大部分を占めるのは、確認不足や不注意が原因のヒューマンエラーによるものであるが、最近ではSNSやWeb会議などの様々なクラウドサービスからメールアドレスをキーとしたアカウントの情報漏洩事件が後を絶たたない。職場で発行されたメールアドレスは、職場のシステムだけでなく、様々なクラウドサービスのIDとして登録されるケースが多く、パスワードも使いまわしされている確率が高い。職場のシステムに登録しているアカウントを外部のクラウドでも利用し、そのアカウントの情報が漏洩すると悪意のある第三者に不正利用される可能性がある。
アカウントの情報漏洩が引き起こす悪意のある第三者からの不正アクセスや更なる情報漏洩、マルウェアによる被害などの事件を未然に防ぐためには、アカウントの情報が漏洩した事実を素早く検知・認識し、迅速に対処しなければならない。それを可能とするアカウントの情報漏洩を知ることのできるサービスは、極めて有用である。
また、OSINTを活用し検知したアカウント漏洩情報と、運用・管理しているシステムログから分析を行うことで、被害の特定や適切な対策を検討することも可能となる。
お問合せはこちら 03-5213-4842受付時間 / 平日 9:30~18:30
