サイバーセキュリティ 
デジタルフットプリントは、使用していないアカウントを
更新日:2025年4月14日
ReliaQuestの2022年のレポートによると、ダークウェブ上には現在240億件以上の漏洩したクレデンシャルが出回っているそうです。実際、漏洩したクレデンシャルを販売している市場では、これらのユーザー名やパスワードを購入するためのサブスクリプション型サービスをサイバー犯罪者に提供している状況さえあります。このレポートが実施された2020年以降、ダークウェブ上で流出したクレデンシャルが65%も増加している事実も不思議ではありません。
従業員の個人情報がダークウェブに流出すると、企業全体に危険が及ぶ可能性があります。サイバー攻撃者は通常、Torブラウザを使用してダークウェブにアクセスし、違法行為に加担しています。個人情報がダークウェブ上で公開されると、関連する人々やチームのIDが犯罪に巻き込まれる危険性があります。
この記事では、もしあなたのメールアドレスなどの個人情報がダークウェブ上に流出してしまった時の対処法を紹介します。
Keeperでパスワード管理をもっと簡単・安全に。ダークウェブ上の
個人情報漏洩対策に!30日間無料で体験しましょう
「お客様の情報がダークウェブで検出されました」通知が来ても焦らない
セキュリティ対策ソフトなどのダークウェブモニタリングサービスを使用した際に、「お客様の情報がダークウェブで検出されました」という通知が来る場合があります。
そうした場合は、焦らずに対処することが大切です。
ダークウェブ上であなたの個人情報が見つかったら、早急にパスワードを変更することが望ましいです。
しかし、そのメッセージを受け取ったサイトやメールが本物なのか?疑うことも大切です。それらのURLをクリックする前にそのリンクが公式の正しいものか、Googleの公式リンクチェッカーなどを使いましょう。
パスワードマネージャーを使っていると、すぐにアカウントのパスワード設定ができます。またそれだけではなく、二要素認証(2FA)や多要素認証(MFA)の設定をすることが望ましいです。
ダークウェブ上であなたの個人情報を見つけた時の対処法
ダークウェブ上の機密情報は、あなたの個人生活や仕事上の重大な問題につながる可能性があります。何から始めればいいのかわからない?以下のステップは、ダークウェブ上であなたの個人情報が発見された場合のチェックリストとしてご利用ください。
1、ウイルスとマルウェアチェックのためにパソコンをスキャンする
パスワードをすぐに変更する前に、コンピュータを完全にスキャンしてください。まず、お使いのデバイスが何らかの形で感染しているかどうかを判断する必要があります。コンピュータがマルウェアに感染している場合、新しいパスワードを作成しても、不正なソフトウェアによってログインされてしまうので、時間の無駄になってしまいます。
コンピュータでウイルス対策ソフトとマルウェア対策プログラムを実行しましょう。現在、お使いのデバイスにインストールされていない場合は、Windows用のBitDefenderやMac用のAvastなどの無料オプションがオンラインで入手できます。
ウイルス対策ソフトを実行したら、ウイルス対策ソフトを起動したら、脅威を確認し、ウイルスやマルウェアを除去するために行動します。お使いのソフトが、この手順を案内してくれるはずです。コンピュータのウイルスを除去したら、次のステップに進みます。
2、パスワードを変更する
すぐにクレデンシャルを更新してください。漏洩したメールアドレスやアカウントに関連するすべてのパスワードを変更してください。デバイスが漏洩した場合は、すべてのオンラインアカウントを更新する必要があります。ユニークなパスワードの作り方がわからない?以下のヒントを参考にして、強力なパスワードを作成してください。
- 文字数を増やす
- 大文字と小文字を混ぜる
- 数字や特殊記号を使う
以下は避ける様にしましょう。
- 実際の言葉を使う
- 特別な日付や名前など、個人情報に関連するものを使う
- いくつものアカウントでの同じパスワードの使い回し
パスワードのセキュリティを強化した後は、アカウントの二要素認証(2FA)を有効化してさらに保護を強化しましょう。
3、金融機関の口座アカウントをチェックする
ダークウェブ上の1つのメールアドレスが、あなたのオンラインアカウントすべてを危険にさらすことはないかもしれませんが、念には念を入れておいたほうがよいでしょう。
3つのクレジット情報機関のうちの1つから、自分のクレジット報告書のコピーを入手しましょう。オンライン銀行口座にログインするか、支店に直接電話して、疑わしい動きがないか確認しましょう。感染した可能性のあるコンピュータで口座にログインすることに抵抗がある場合は、モバイルデータを使用してモバイルデバイスから口座にログインしてください。
データを使用することは、危険性のあるWiFiを使用するよりもリスクが低いです。あるいは、銀行、クレジットカード発行会社、クレジット会社に電話をして、口座が漏洩していないかどうか、直接相談してみてください。
もし、おかしな動きがあれば、口座を閉鎖するよう金融機関に依頼しましょう。銀行やクレジットカードの金融機関は、漏洩した口座を閉鎖し、新しい口座を開設することができるはずです。あなたのクレジット情報を凍結しましょう。クレジット情報を凍結することで、サイバー攻撃者があなたのクレジット情報にアクセスし、あなたの身元で新しいクレジットカードやローンを開設することを防ぐことができます。さらに、セキュリティアラートを設定することで、今後、不審な動きがあった場合に警告を発することができます。
4. ダークウェブに情報が流出した原因を究明する
あなたの情報がなぜダークウェブ上に流出しているということは、あなたの会社のサイバーセキュリティのどこかに弱点がある、ということです。どの様にしてあなたの情報がダークウェブ上に流出したのかを突き止めたら、再発を防ぐために対策を適応しましょう。
Verizonの2022年度情報漏洩報告書によると、2021年の情報漏洩の82% が”人的要素”によるものだと報告されています。これにはフィッシング攻撃に引っかかる、一度盗まれたクレデンシャルを再利用する、内部関係者の不正行為、または設定ミスなどの行為が含まれています。 会社を守る上で、従業員を教育することは必要不可欠です。例えば、フィッシング攻撃を通しいて不正なユーザーがクレデンシャルを入手した事象が起こったなら、フィッシングメールの見分け方についてチーム全体で会議を行うことを検討することをお勧めします。
実際に、Anti-Phishing Working GroupによるPhishing Activity Trendsレポートによると、1,025,968件ものフィッシング攻撃が2022年の第一四半期だけで発生し、2021年の第四四半期と比べて15%も上昇しています。 最新のサイバーセキュリティニュースをいつも目を通し、被害者を騙すサイバーアタッカーの手口を知っておくことが必要不可欠です。
今後の行動に注意しましょう。疑わしいハイパーリンクをクリックすることを避けましょう。信頼できるウェブサイトでのみ取引を行いましょう。ブラウザの拡張機能をクリーンアップし、アクセス許可を調整しましょう。あなたの機密情報がダークウェブに再流出するのを防ぐ方法、あるいはそもそも流出するのを防ぐ方法については、引き続きお読みください。
そもそもあなたのメールアドレスがなぜダークウェブに流出するのか?
あなたのメールアドレスや個人情報がダークウェブに流出する原因は多岐にわたります。多くの場合、以下のようなサイバー攻撃がきっかけで情報が盗み取られ、不正なダークウェブなどのマーケットに出回ってしまいます。
マルウェア感染:気づかぬうちに情報を盗まれる
マルウェア(悪意あるソフトウェア)は、一見無害なアプリやファイルに紛れてユーザーの端末に侵入します。
インストールされると、キーボード入力を記録する「キーロガー」や、保存された認証情報を抜き取る「情報窃取型マルウェア」などが動作し、メールアドレスやパスワードなどの個人情報を攻撃者に送信します。
フィッシング詐欺:巧妙な偽サイトにご用心
フィッシングとは、公式を装った偽のログイン画面やメールを使って、ユーザーに自発的に情報を入力させる手口です。
「緊急のお知らせ」や「アカウント確認が必要です」といった文言で不安を煽り、正規のサービスそっくりな偽サイトへ誘導し、そこにメールアドレスやパスワードを入力させてしまうのです。
最近では、デザインや送信元アドレスも精巧に偽装されており、一目で見破るのは困難になっています。
ブルートフォース攻撃:弱いパスワードは即突破される
「123456」「password」など、単純なパスワードを設定していませんか?
ブルートフォース攻撃は、あらゆる文字列の組み合わせを総当たりで試し、ログインを突破する手法です。
この手法はツールで自動化されており、何千通りものパスワードを一瞬で試すことが可能です。使い回しのパスワードや短いパスワードは、こうした攻撃に非常に弱く、すぐに突破されてしまいます。
ソーシャルエンジニアリング:心理を突く“人間系”ハッキング
テクノロジーだけでなく、人の心理を突いて情報を引き出すのがソーシャルエンジニアリングです。
「社内のIT担当者」を装ってログイン情報を聞き出したり、上司になりすまして添付ファイルを開かせたりと、相手に疑念を抱かせない“会話”を通じて機密情報を取得します。
特に組織の中でセキュリティ教育が行き届いていない場合、この手法での情報流出が後を絶ちません。
クラウドサービスやWebサイトの情報漏洩:自分に過失がなくても危険
自身が直接ハッキングされていなくても、利用しているクラウドサービスやWebサイトのシステムが侵害されてしまうことで、メールアドレスやパスワードが流出するケースも非常に多いです。
たとえば、大手SNSやECサイト、業務で使用するコラボレーションツールなどが標的になり、数百万件規模の情報漏洩が一気に発生することもあります。
このような「サードパーティ由来」の流出は、自分の注意だけでは防ぎきれないため、流出監視ツールやパスワードマネージャーの活用が重要です。
あなたの情報がダークウェブ上に流出するのを防ぐ対策方法
セキュリティ態勢を強化することは、アタッカーから身を守るための最善の方法です。ダークウェブへの情報流出を防ぐため、以下の推奨事項を参照してください。
パスワードマネージャーを使う
脆弱なパスワードとパスワードの再利用はアカウント流出の主な原因です。 Results from Keeper2022年パスワード実践報告から、以下の結果が出ました:
- 45~54歳の回答者の34%が、パートナー/配偶者にパスワードを任せたことがある。
- 56%の回答者がパスワードの再利用に罪悪感を抱いており、複数のサイト/アプリで同じパスワードを使用している。
- 18~24歳の回答者の24%が、パスワードを作成する際に誕生日を使用している。
パスワード管理ツールは、パスワードの安全性を監査し、弱いパスワードやパスワードの再利用を通知することで、弱いパスワードに対策に役立ちます。また、パスワード管理ツールは、強力なパスワードを作成するパスワードジェネレーターを提供します。パスワードはデジタルボルトに保存され、暗記する手間を省くことができます。自動入力機能により、ログイン情報を入力する手間を省き、キーロギングを防止します。
ダークウェブ監査や高度なレポートやアラートなどの機能を追加することで、セキュリティを強化し、より強固な保護が可能になります。以下のリンクでダークウェブ監査の詳細を動画で見てみましょう。
多要素認証を有効にする
Microsoftによると、多要素認証 (MFA) を有効化することでアカウントのパスワード関連のサイバーアタックを99.9%防ぐことができます。従業員に可能なアカウントの多要素認証を有効化することを義務付けましょう。
仮にサイバー攻撃者が会社のクレデンシャルを入手したとしても、MFAは不正なユーザーがお客様のアカウントにさらにアクセスすることをブロックします。アタッカーがログインを試みると、MFAはアタッカーに次のように促すことがあります:
- SMSまたはメールで受信する認証コードを入力する
- 生体認証または指紋認証
- 従業員に関するセキュリティ質問に答える
公共のWiFiの使用を避ける
2022年には、多くの企業がリモートワークまたはハイブリッドに業務形態を変更したので、チームはどこにいてもパスワード衛生を実施しなければなりません。公共のWiFiはあなたとチームメンバーのセキュリティと情報を危険に晒す可能性があります。公共のWiFi利用者は、アタッカーが公共のWiFi接続を利用してブラウザやアプリにアクセスし、データにアクセスする中間者(man-in-the-middle)攻撃を受ける可能性があります。
職場外で働いている時に、記録を安全に保つためにプライベートなネットワークに接続すると便利です。どうしても公共のWiFiを使用しなければならない場合は、VPNを使用しましょう。 リモートワーク時にできる最も優れたパスワード衛生の実施についてはこちらをお読みください。
ダークウェブ上から流出した情報を取り除くことは可能なのか?
結論から言えば、一度ダークウェブに出回った情報を完全に削除することは、ほぼ不可能です。
その理由は、ダークウェブという環境自体にあります。ダークウェブでは、ユーザーの身元を特定するのが極めて困難です。アクセスにはTorなどの匿名化ツールが使われており、投稿者のIPアドレスや実在する連絡先を追跡することはほぼ不可能。さらに、ダークウェブ上の情報は一度公開されると瞬く間にコピー・転載され、複数のフォーラムやマーケットで拡散されてしまいます。
たとえ最初の投稿者を特定できたとしても、コピーされた情報まですべて削除するのは事実上不可能に近いのです。そのため、ダークウェブ上でメールアドレスなどの個人情報が拡散しまう前の未然の対策が重要になります。
まとめ:Keeperで組織をダークウェブから守る対策を!
個人のメールアドレスが流出するだけでも、企業全体に深刻なセキュリティリスクが及ぶ時代。
一度ダークウェブ上に出回ってしまった情報を取り戻すのは非常に困難だからこそ、「事前に備える」「早期に気づく」「的確に対応する」というようなサイクルが不可欠です。
そのためには、人の注意力だけに頼らず、ツールの力を借りることも重要な選択肢です。
BreachWatchのようなダークウェブ監査ツールは、あなたとあなたのチームメイトをメールアドレスや情報がダークウェブ上に流出する危険性から守る手助けとなります。メールを無料でスキャンして、あなたのサイバーリスクの状況がどの様なものかチェックしてみましょう。
この機会にKeeperパスワードマネージャーの30日間の個人版フリートライアルまたは、14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。
