漏洩に関するよくある質問

2021/02/05 セキュリティーニュース
logo

データベースの漏洩は、今日最も危険なサイバー脅威の1つです。 これには、情報へのアクセス権を取得し、その機密性を侵害した人物の行動によるものが含まれます。 このような行動は意図的なもの(産業妨害、スパイ活動)である場合もあれば、セキュリティ研究者によって設定ミスのデータベースが発見される場合もあります。

 

従業員の不注意により会社全体のデータベースが公開されることもありますが、経営陣は顧客や従業員のデータが危険にさらされているとは考えていません。

どうすればデータベースを入手できますか?

 

 

 

 データベースの漏洩は、ほとんどの人が機密情報にアクセスできることを意味します。 漏洩は、データベースがパブリックドメインから削除されていない、または確実に保護されていないという事実の結果として発生します。

 

 

 

多くの場合、さまざまな企業や組織の従業員自身がデータベースを販売したり、データベースにアクセスしたりします。 データベースサーバーの構成エラーの「おかげ」を利用し、ハッキングする方法もたくさんあります。

 

 

 

 重要な情報が漏洩するもう1つの理由は、人的要因、従業員の過失です。

 

 

 

この原因がもとで、オンラインストア、オフラインストア、銀行、保険会社、旅行代理店、および医療機関のデータベースが定期的にパブリックドメインに公開されます。 その後の展開は、誰が最初にデータベースを発見したか(セキュリティ研究者または侵入者)によって異なります。

誰にとって他人のデータベースが必要なのですか?

 

 

 

 まず、それらの情報は「再販業者」、つまりダークウェブのサイトでデータを販売している攻撃者によって捜索されます。 第二に、データベースは、商品やサービスを販売したい人のために、ターゲットを絞った広告をより正確に設定するのに常に役立ちます。 そして第三に、詐欺師は潜在的な被害者に関する詳細情報を入手するためのデータベースを確実に必要としています。

 

 

 

個人情報は、ソーシャルエンジニアリング攻撃の基盤です。 攻撃者がそれらの情報を知っているほど、被害者に必要なアクションの実行を強制するのが簡単になります。例えば、攻撃者はさらに攻撃するためにさらに多くの情報を提供し、被害者は受信したSMSから番号に名前を付けて攻撃者に送金したりします。

データベースの購入費用はいくらですか?

 

 

 

 近年、データベースに対する需要が高まっており、それはもちろんコストに影響を及ぼしています。 ブレイクアウトブラックマーケット価格レポートによると、最も人気のある情報は銀行業界からのデータです。

 

 

 

 銀行の個々の顧客に関する情報は、5〜35,000ルーブルで購入が可能で、携帯電話会社の顧客に関するデータは、400〜45,000ルーブルで購入できます。 

リークはどのように発生しますか?

 

 

 

 毎年、情報漏えいに関するニュースがますます増えています。 機密情報の開示は、評判の低下、経済的損失、場合によっては知的財産の損失など、非常に不快な結果を伴います。

 

 

 

 積極的なマーケティングを実践している企業のコールセンターの従業員やソーシャルエンジニアリング詐欺師がリークされたデータベースの主なユーザーとなっています。

 

 

 

公開されているデータ量は絶えず増加しているため、インシデントのタイムリーな検出と防止は、最も深刻な情報セキュリティの問題の1つになっています。 データ漏えいのリスクを減らすには、脅威がどこから来ているのかを理解する必要があります。 2つの主なリスク要因は人とデバイスです。

 

 

 

1.従業員が会社を妨害し、意図的に情報を競合他社に渡すことがあります。 しかし、すでに述べたように、多くの場合、それは自己利益や悪意ではなく、リークにつながる従業員の無知や過失です。 この問題には十分な注意が払われておらず、ほとんどのロシア企業では最新のITシステムによって予防が可能なことを教えていません。

 

 

 

2. 2番目に、それほど重要ではないリスク要因は、企業のネットワークとリソースにアクセスするために使用されるデバイス(特にポータブルデバイス)です。 それらの誤った構成、安全でないネットワークへの接続も機密データの漏洩を引き起こします。

リークを回避する原則は?

 

 

 

 企業レベルでのデータ侵害のリスクを軽減するための基本的な方法は、従業員に情報を提供し、データへのアクセスを管理し、問題を早期に検出できるようにすることです。 情報セキュリティの専門家と堅牢なプロセスを採用してユーザーによる不注意を防止することにより、漏洩のリスクを最小限に抑えることができます。

 

 

 

同時に、平均的なユーザーは自分自身に関するデータ漏洩の事実にほとんど影響を与えることができません。 個人データを他の場所に残さないことや名前の変更は、実現が難しいです。 したがって、データに注意してください。場合によっては、エイリアスを使用したり、別のメールボックスを作成したりできます。