お問い合わせ
企業内のパスワードが漏えいすると、多大な被害が及ぶ可能性があります。しかし、実際に漏えいしているかを確認・調査する方法や、インデントに対する適切な対応方法があまり整理されていないという組織も多いと思われます。
この記事ではパスワードが漏えいする原因や、漏えいの確認・調査方法を解説します。
目次
なぜパスワードは漏えい・流出するのか?
内的要因
日本ネットワークセキュリティ協会(JNSA)の調査によると、企業内で情報漏えいを起こす原因の過半数は「内部要因」です。内的要因は大きく分けて「⼈的ミス」「情報持ち出し」「内部不正」の3つに分けられますが、実際は情報漏えいが起こる原因の過半数が紛失・置き忘れや誤操作といった「人的ミス」によるものです。
出典:JNSA
紛失・置き忘れ
情報漏えいの約25%以上は「紛失・置き忘れ」です。
これはデータを入れたUSBメモリなどを持ち出し、そのまま紛失・置き忘れしてしまうケースが大半ですが、セキュリティ意識の低さや、情報持ち出しに関するルールの不徹底(いわゆる管理ミス)が遠因となって引き起こされることもままあります。
誤操作(メール誤送信など)
情報漏えいの約25%は、メールで宛先や内容、添付ファイルを間違えて送信による人的ミスです。たとえば「BCC」のつもりが「CC」や「TO」に間違えて入力してしまい、そのまま複数の取引先や顧客に送信してしまうことが原因として挙げられます。
また、このようなケアレスミスでも、顧客情報が漏えいした場合、個人情報保護法に抵触する恐れがあります。
管理ミス
これは、情報の取り扱いにおいて定められたルール違反が原因となって起こります。たとえば、セキュリティ上のルールがあるのに誰も守らず、機密データを自由に持ち出せたり、または第三者が機密データを確認できるような状態だと、管理ミスが起こりやすくなります。
一方で、人的ミスなどケアレスミスだけではなく、悪意を持って情報を持ち出す内部犯行も一定の割合で存在します。
故意的な情報持ち出し
デジタルデータの管理や取り扱いのルールが徹底されていないと、従業員が大量の社内情報を一度に持ち出すことが可能となってしまいます。
これは主に金銭を目的とした経済的動機、競争相手が送り込んだ産業スパイによるものが多いですが、組織への不満が動機になる場合もあります。
外的要因(不正アクセス)
外的要因のほとんどは、始めから情報を盗むことが目的の「不正アクセス」(マルウェア・ハッキング)です。これはパスワードの使い回しが主な原因で、1つのサイトの情報が漏えいした場合に、他すべてのサイトに不正ログインされてしまうことになります。
また、流出したパスワードはダークウェブの掲示板などに転載されたり、あるいは取引されたりするため、ハッカー以外に「悪意ある第三者」の手に渡ることも考えられます。
なお、不正アクセスはWebサイトの脆弱性や管理ミスなど、ずさんな管理体制が引き金となることもあり、外的要因ながら「内的要因」の側面もあわせ持っています。
また情報漏えいの原因として不正アクセスは全体の約2割程ですが、不正アクセスは一度に大量の情報が漏えいしやすく、人的ミスよりも被害規模が大きくなる傾向があります。
ハッキング・不正アクセスについては下記の記事でも解説しています。
パスワードの漏えい・流出していないかどうかを確認・調査する手段
もしパスワード漏えいを起こしているという事実に気づかないと、知らないうちに傷口を広げてしまい、より大きな被害へとつながってしまいます。
まずはパスワード漏えいの有無を確認しましょう。
パスワード漏えい確認用のWebサイトを参照する
個人情報やパスワードが流出したかどうかを無料で確認できるデータベースとして「Have I been pwned(HIBP)」があります。これはITセキュリティ専門家が運営する、世界最大規模の情報漏えい確認用のWebサイトで、世界中のユーザーが利用しています。
このサイトには「Yahoo!」「Adobe」「Dropbox」など、540サイトで過去に流出した113億8840万件ものアカウント情報が登録されています(2021年現在)。
使い方は非常に簡単で、検索欄に漏えいの有無を確認したいメールアドレスや電話番号を入力するだけです。
■漏えいが発生していない場合
➡「Good news — no pwnage found!」と表示されます
■漏えいが確認された場合
➡漏えい元のWEBサイトや、漏えいが発生したファイル、日時、アカウント数、データの種類と共に「Oh no — pwned!」という警告が表示されます。
調査会社に相談する
情報漏えいの疑いを把握するきっかけの多くは、外部からの通報やクレームなどですが、初期段階では本当に情報が漏えいしたのか、確かな事実はわかりません。また漏えいの疑いはあっても「Have I been pwned」のデータベース検索に反映されないこともあります。
そのような場合は「フォレンジック調査」の専門会社に相談・依頼しましょう。フォレンジック調査は、パソコンやスマートフォン、サーバーといったデジタル機器を解析し、情報漏えいの有無や原因を確認するのに有効な調査手法です。
フォレンジック調査については、以下のページでも詳しく紹介しています。
パスワードの漏えい時の対応方法
漏えい情報に応じて対応を切り替える
漏えいした情報の種類に応じて、取るべき対応も次のようにそれぞれ異なっています。
■顧客情報の場合
➡本人および個人情報保護委員会への通知が原則義務化されています。■公共性の高い情報の場合
➡監督官庁やマスコミなど情報開示する必要があります。■企業情報の場合
➡組織の技術や知的財産が漏えいした場合は、その内容に応じた経営判断を行います。
初動対応/応急処置
情報漏えい発覚後、漏えい件数に関わらず、被害拡大防止のため、次の対応を迅速に取りましょう。たとえ1件の情報漏えいでも、あくまでそれは氷山の一角に過ぎないからです。
責任者を決め、対応チームを構築する
漏えい情報の管理責任者は初動対応、応急処置において、対応チームを編成するなど、具体的なプロジェクトとして対応を推し進める必要があります。なぜなら、責任者やスケジュールを定めず調査してしまうと、被害の全容が把握できなくなったする恐れがあるからです。
情報を5W1Hで収集・整理する
過不足なく情報を収集・整理し、原因を特定するには、発生日時、発生場所、発災当事者、漏えい内容、漏えい原因、漏えいの流れ(5W1H)を念頭に置いて調査を行いましょう。上記の事実関係に抜け漏れがあると、被害の全容がわからなくなる恐れがあります。
二次被害の防止のための応急処置
被害拡大防止のため、原因やシチュエーションに応じて次の応急処置を取りましょう。
- 情報の隔離
- ID/パスワードの変更
- ネットワークの遮断
- サービスの停止
- セキュリティソフトの更新 など
特に企業のIDとパスワードが流出した疑いが強い場合、利用している全サービスのIDとパスワードを変更し、クレジットカードの利用履歴などもチェックしておきましょう。
パスワード漏えいの被害状況を調査する
フォレンジック調査の専門業者に依頼する
パスワード漏えいの疑いがある場合、被害拡大防止のためにも、漏えいの原因や経路を解明する調査を行うべきです。また、パスワードに限らず、何らかの情報漏えいが発生した場合、個人情報保護委員会も、事実関係の調査や原因究明を行うように求めてます(H29個人情報保護委員会告示1号)。
しかし、電子的な記録は、容易に改変されてしまうため、システム担当者が不適切な操作を行うと、情報漏えいや不正アクセスの痕跡が不可逆的に上書きされ、調査が困難になる恐れがあります。また、民事裁判などで漏えい者を訴えたとしても、証拠データが改変されていると、法廷に証拠を提出することが出来なくなってしまいます。
そのため、情報漏えいが発覚した企業は、コンプライアンスに則り、正しい手続きで実態調査を行う必要があります。このような場合、デジタルデータから最も適切かつ安全に被害調査を行うには「フォレンジック専門業者」と提携することが重要となってきます。
フォレンジック調査では、情報漏えい事案において「情報漏えいの有無があるか」「何が原因で情報が漏えいしたのか」などを調査・分析し、その結果を法的機関に提出可能な報告書としてまとめることができます。
パスワードの漏えいの事後対応
漏えいの通知・報告
漏えいが発覚した場合、詳細な状況を迅速に関係者に伝える必要があります。
顧客本人、取引先、個人情報保護委員会への通知はもちろん、必要に応じ、警察、監督官庁、IPAへの報告・届出、ないしマスコミやホームページを介して公表も検討しましょう。
なお、どのようなルートで報告・通知を行うか、社内規程やプライバシーポリシーで策定されている場合、フローに沿って円滑に行いましょう。
内部職員の処分
従業員が情報を持ち出した場合は、当該従業員に対して、民法709条または不正競争防止法21条による民事上・刑事上の措置を講じ、懲戒解雇することもあります。
ただし注意点もあり、悪意がなく、企業への実害が認められない場合、懲戒解雇が無効になることも珍しくありません。
被害者への損害補償
裁判所から被害者からの慰謝料請求が認められた場合、損害賠償金を補償する義務が生じます。また流出した個人情報が、プライバシー権の侵害にかかわるセンシティブな内容になるほど損害賠償額が高額になる傾向があります。
パスワードの漏えい・流出対策
情報漏えいが発生した場合、同様のことが二度と起こらないよう、次のような再発防止の取り組みを行う必要があります。
セキュリティソフトを導入・更新する
セキュリティソフトやファイアウォールを導入することで、外部からの不審な通信を遮断し、通信の可否を選択することで、ある程度の不正アクセスを検知・防御できます。
ただし、マルウエアは1日に数十万という数が新しく作られているため、常にソフトウェアを最新の状態に保つだけではなく、OSやセキュリティソフトのアップデートを怠らないようにしましょう。
中にはゼロデイ攻撃などのように、脆弱性(セキュリティホール)の公表後、修正プログラムが配布されるまでの、ごく僅かな期間で、集中攻撃を仕掛けるサイバー攻撃も存在しています。
セキュリティ教育を従業員に行う
今後同じことを繰り返さないように、従業員に対する教育を徹底し、データの取り扱いルールの策定、セキュリティシステムの導入・更新を欠かさず行い、情報漏えいの再発防止策の検討・実施、そしてセキュリティーポリシーの策定に必要な措置を速やかに講じましょう。
仮にインシデントが発生しても、漏えいを最小限にとどめるため、日頃からデータの暗号化やセキュリティソフトの運用を推し進め、リスクを回避できる環境を整えておきましょう。
情報持ち出しのルール・セキュリティポリシーの策定
情報漏えいのリスクを内側から取り除くためにも、下記のようなセキュリティポリシーの策定・周知を行いましょう。
- 業務上で扱うデータや端末を外部に持ち出す場合のルールを明確にする
- 秘密情報の紛失・流出に備えて暗号化を施す
- 業務上取得したデータや権限を、第三者に貸与または譲渡しない
パスワードを複雑にする
不正アクセス防止のため、各種パスワードは使い回さず、長く複雑にしましょう。24文字以上だと、ハッキングに1800万年以上はかかるとされています(FBI調べ)。
安全が確認できないサイトに個人情報を入力しない
スパムメールの多くは、有害な偽サイトなどに誘導させることで、個人情報をだまし取るという目的があります。入力した個人情報は犯罪者に悪用され、不正アクセスの材料にされる恐れもあるため、不審なメールに添付されているリンクを踏まないようにしましょう。
情報漏えいの調査はDDFへ
社内で情報にまつわるインシデントが発生した際、フォレンジック調査を行うかまだ決定していない段階であっても、一度専門会社へ相談するのをおすすめします。専門的なノウハウを持たない中で自社調査を行っても、正確な実態把握ができなかったり、証拠となるデータが故意に改ざん・削除されている可能性も想定され、対応できないこともあります。
調査の実施が未確定の場合であっても、今後のプロセス整理のためにもまずは実績のある専門会社へ相談することを推奨しています。
\24時間365日 相談受付/
デジタルデータフォレンジックでは、国内売上シェアトップクラスのデータ復元技術を活用し、パソコンやスマートフォンに残されたログの調査やマルウェアの感染経路調査を行っています。また、ご相談件数は警察機関や法律事務所、官公庁、上場企業から個人のお客様まで32,377件以上を数えます。
お困りの際はデジタルデータフォレンジックまでご相談ください。なお、証拠利用の場合、法廷資料としても活用できる報告書の作成も承っております。
