データ侵害はブランドを低下させ、さらには収益損失をもたらす可能性があります。最も一般的な種類のデータ侵害とビジネスへの影響を見てみましょう。
過去数年間で、数百万人のユーザーのプライバシーを侵害する攻撃が何百件も発生しました。大学とその学生に影響を及ぼしたハッキングや病院の情報が危機にさらされた侵害など、数えきれないほどの事例があります。
データ侵害の種類
情報の窃盗
ランサムウェア
パスワードの推測
キー入力の記録
フィッシング
マルウェアまたはウイルス
分散型サービス拒否 (DDoS)
ソフトウェアが金塊保管所ほど厳重であっても、ほとんどの企業はデータ侵害の影響を避けることができません。Verizon 社から NHS (英国の国民保健サービス)、Yahoo 社まで、大手企業もユーザーデータの漏えいに直面しています。規制コンプライアンスによってユーザーのプライバシーとデータの保護に取り組んでいますが、政府がテクノロジとサイバー犯罪の急速な変化に対応するには困難が伴います。
では、どのような種類のデータ侵害からデータを保護する必要があるのでしょうか? ここから、さらに最も一般的な 7 つの種類とビジネスへの影響について説明します。
ばかばかしく聞こえるかもしれませんが、人間は非常にミスを犯しやすく、誤りは頻繁に発生します。そのような誤りは、数百万ドルとまではいかなくても、数万ドルの被害を企業にもたらす可能性があります。
Apple 社でさえも、不注意な従業員が新しい iPhone 試作品の 1 つを無造作に置き忘れたことから、データ侵害の被害に遭いました。わずか数時間で、まだリリースされていない iPhone の仕様とハードウェアがインターネットで拡散されたのです。
信じられないことに、従業員がコンピュータ、電話、またはファイルを置き忘れてはならない場所に置き忘れ、盗難に遭うことはしばしばあります。機密事項である新しいプロトタイプだけでなく、顧客や患者情報なども侵害される可能性があるのです。
ランサムウェアは、技術的にはマルウェアのサブタイプですが、特に注目すべきものです。
ランサムウェア攻撃では、電話またはコンピュータのすべてのデータが暗号化されたというメッセージが突然届き、自分のデータへのアクセスが拒否されます。ランサムウェアの攻撃者は、金銭を支払えばデータを返し、公開しないと言ってきます。この要求は、ほんの少額なものから数万ドルまで、幅広い額になります。ここでの問題は、自ら認めた犯罪者と取引し、身代金を支払っても、実際にデータを取り戻したり、後で漏えいしないという保証はないことです。
多くの企業は、重要な資料や問題を引き起こす資料の公開や削除を回避するために、リスク管理ソリューション企業と契約しています。
もう 1 つ、実にシンプルでありながら大きな被害をもたらす問題が、パスワードの窃盗です。これは、想定されるよりも頻繁に発生しています。一部の企業では、コンピュータのパスワードを書き留めた付箋紙を貼り出し、誰でもアクセスできるようにしているため、不注意な従業員が他の場所からファイルにアクセスする可能性すらあります。
ほとんどの場合、パスワードが非常に推測しやすいものという単純な理由でハッキングされています。この種類の侵害は総当り攻撃と呼ばれ、ハッカーの間で非常に一般的な方法です。パスワードには住んでいる通り、ペットの名前、誕生日などがよく使用されるため、簡単にアカウントをハッキングできます。
言うまでもなく、パスワードを推測できれば、ファイルにアクセスし、目的とする種類の会社の機密情報が見つけられてしまいます。
サイバー犯罪者は、コンピュータへの入力内容を記録できるキーロガーというマルウェアを挿入またはメールで送信することがあります。データはハッカーに送り返され、機密データへのアクセスに使用されます。これは勤務先でも、個人用コンピュータでも起こります。
その場合、画面に文字が表示されるかどうかにかかわらず、入力する文字すべてが記録されます。これにより、パスワード、クレジットカード番号、データベースに入力する可能性がある氏名、医療データ、その他のほぼすべてが犯罪者に容易に収集されてしまいます。
これは企業に対してはよく使用されます。すぐにパスワードや企業のクレジットカード情報が手に入るからです。その後、それを使用すれば、企業の機密情報を見つけ出し、簡単に流出できるでしょう。
フィッシングとは、まったく本物にしか見えないようなサイトを作成する第三者のハッカーによる攻撃です。たとえば、PayPal をミラー化するサイトを作成し、変更のためにサイトへのログインを求めます。自分の本当のアカウントではないことに気付かずにログインすると、ハッカーにパスワードを渡すことになります。
この詐欺は特に大学が狙われます。多くの場合、学生は、学校を装った第三者から、ログインの詳細を確認することを求めるメールを受け取ります。学生がその指示に従うと、ハッカーはログインの詳細を手に入れ、それを使って目的を果たします。フィッシング攻撃は Microsoft 365 アプリケーション、特に Exchange Online に対するものも確認されています。
1 回のフィッシング詐欺でも、自分や企業が保有する機密情報の安全性を損なう可能性があります。
マルウェアまたはウイルスは、コンピュータからすべてのデータを消去する目的で送信されます。これは、すべての企業、特にデータに依存する企業に被害をもたらします。たとえば、マルウェアウイルスが病院に送信された場合、数千の患者のデータが消去される可能性があります。この結果、治療が遅れる、または病院内で死亡例が生じるなど、非常に深刻な状況に陥る可能性があります。
このような種類のウイルスを防止するには、出所のわからないものをクリックしないようにします。顧客または潜在顧客に情報をメールで送信するよう求める企業は、情報を添付せず、メールの本文に記入するよう求めます。これにより、サーバーを消去する可能性があるものを誤ってクリックすることを防ぎます。
この攻撃は、大企業のみを標的とする傾向があり、多くの場合、抗議として行われます。たとえば、アノニマスのような正義による制裁を標榜する集団は、製薬会社の経営方法が患者につけこみ、利用するものであると判断した場合、サービス拒否攻撃を始めることがあります。
分散型サービス拒否攻撃では、複数の攻撃元から同時に攻撃が始まります。この種の攻撃により、職場でシステムへのサインインができなくなります。攻撃からのすべてのトラフィックによってサイトが到達不可能になると、顧客は企業のサービスにアクセスできません。データは必ずしも失われるわけではありませんが、企業はセキュリティ侵害に対処する間、業務を停止しなければならず、ビジネスを喪失する可能性があります。
この種類の攻撃は、大量のリソースと非常に協調的な攻撃を必要とするため、個人はそれほど対象とされません。
企業を前述の種類のデータ侵害から保護するための確実な方法はありませんが、自分自身と従業員に対し、データ侵害の影響、およびシステムがハッキングされる可能性について教育することはできます。
また、パスワードにタイムアウトとタイマーを設定して、従業員にパスワードを定期的に変更させます。さらに、オフィス外へ持ち出す可能性がある機密情報は、可能な限り安全に保つことを従業員に周知することもできます。
SaaS アプリケーションデータの保護と、ベリタスがこれらの種類の攻撃からの被害を防ぐ方法については、ベリタスのデータ保護ソリューションをご覧ください。
お問い合わせいただければ、ランサムウェアソリューションとこのような攻撃からビジネスを保護するためにベリタスができることを説明いたします。