クラウドセキュリティに潜んでいるリスクは、外部からの
ReliaQuestの2022年のレポートによると、ダークウェブ上には現在240億件以上の漏洩したクレデンシャルが出回っているそうです。実際、漏洩したクレデンシャルを販売している市場では、これらのユーザー名やパスワードを購入するためのサブスクリプション型サービスをサイバー犯罪者に提供している状況さえあります。このレポートが実施された2020年以降、ダークウェブ上で流出したクレデンシャルが65%も増加している事実も不思議ではありません。
従業員の個人情報がダークウェブに流出すると、企業全体に危険が及ぶ可能性があります。サイバー攻撃者は通常、Torブラウザを使用してダークウェブにアクセスし、違法行為に加担しています。個人情報がダークウェブ上で公開されると、関連する人々やチームのIDが犯罪に巻き込まれる危険性があります。
この記事では、もしあなたのメールアドレスなどの個人情報がダークウェブ上に流出してしまった時の対処法を紹介します。
Keeperでパスワード管理をもっと簡単・安全に。ダークウェブ上の
個人情報漏洩対策に!30日間無料で体験しましょう
「お客様の情報がダークウェブで検出されました」通知が来ても焦らない
セキュリティ対策ソフトなどのダークウェブモニタリングサービスを使用した際に、「お客様の情報がダークウェブで検出されました」という通知が来る場合があります。
そうした場合は、焦らずに対処することが大切です。
ダークウェブ上であなたの個人情報が見つかったら、早急にパスワードを変更することが望ましいです。
しかし、そのメッセージを受け取ったサイトやメールが本物なのか?疑うことも大切です。それらのURLをクリックする前にそのリンクが公式の正しいものか、Googleの公式リンクチェッカーなどを使いましょう。
パスワードマネージャーを使っていると、すぐにアカウントのパスワード設定ができます。またそれだけではなく、二要素認証(2FA)や多要素認証(MFA)の設定をすることが望ましいです。
ダークウェブ上であなたの個人情報を見つけた時の対処法
ダークウェブ上の機密情報は、あなたの個人生活や仕事上の重大な問題につながる可能性があります。何から始めればいいのかわからない?以下のステップは、ダークウェブ上であなたの個人情報が発見された場合のチェックリストとしてご利用ください。
1、ウイルスとマルウェアチェックのためにパソコンをスキャンする
パスワードをすぐに変更する前に、コンピュータを完全にスキャンしてください。まず、お使いのデバイスが何らかの形で感染しているかどうかを判断する必要があります。コンピュータがマルウェアに感染している場合、新しいパスワードを作成しても、不正なソフトウェアによってログインされてしまうので、時間の無駄になってしまいます。
コンピュータでウイルス対策ソフトとマルウェア対策プログラムを実行しましょう。現在、お使いのデバイスにインストールされていない場合は、Windows用のBitDefenderやMac用のAvastなどの無料オプションがオンラインで入手できます。
ウイルス対策ソフトを実行したら、ウイルス対策ソフトを起動したら、脅威を確認し、ウイルスやマルウェアを除去するために行動します。お使いのソフトが、この手順を案内してくれるはずです。コンピュータのウイルスを除去したら、次のステップに進みます。
2、パスワードを変更する
すぐにクレデンシャルを更新してください。漏洩したメールアドレスやアカウントに関連するすべてのパスワードを変更してください。デバイスが漏洩した場合は、すべてのオンラインアカウントを更新する必要があります。ユニークなパスワードの作り方がわからない?以下のヒントを参考にして、強力なパスワードを作成してください。
- 文字数を増やす
- 大文字と小文字を混ぜる
- 数字や特殊記号を使う
以下は避ける様にしましょう。
- 実際の言葉を使う
- 特別な日付や名前など、個人情報に関連するものを使う
- いくつものアカウントでの同じパスワードの使い回し
パスワードのセキュリティを強化した後は、アカウントの二要素認証(2FA)を有効化してさらに保護を強化しましょう。
3、金融機関の口座アカウントをチェックする
ダークウェブ上の1つのメールアドレスが、あなたのオンラインアカウントすべてを危険にさらすことはないかもしれませんが、念には念を入れておいたほうがよいでしょう。
3つのクレジット情報機関のうちの1つから、自分のクレジット報告書のコピーを入手しましょう。オンライン銀行口座にログインするか、支店に直接電話して、疑わしい動きがないか確認しましょう。感染した可能性のあるコンピュータで口座にログインすることに抵抗がある場合は、モバイルデータを使用してモバイルデバイスから口座にログインしてください。
データを使用することは、危険性のあるWiFiを使用するよりもリスクが低いです。あるいは、銀行、クレジットカード発行会社、クレジット会社に電話をして、口座が漏洩していないかどうか、直接相談してみてください。
もし、おかしな動きがあれば、口座を閉鎖するよう金融機関に依頼しましょう。銀行やクレジットカードの金融機関は、漏洩した口座を閉鎖し、新しい口座を開設することができるはずです。あなたのクレジット情報を凍結しましょう。クレジット情報を凍結することで、サイバー攻撃者があなたのクレジット情報にアクセスし、あなたの身元で新しいクレジットカードやローンを開設することを防ぐことができます。さらに、セキュリティアラートを設定することで、今後、不審な動きがあった場合に警告を発することができます。
4. ダークウェブに情報が流出した原因を究明する
あなたの情報がなぜダークウェブ上に流出しているということは、あなたの会社のサイバーセキュリティのどこかに弱点がある、ということです。どの様にしてあなたの情報がダークウェブ上に流出したのかを突き止めたら、再発を防ぐために対策を適応しましょう。
Verizonの2022年度情報漏洩報告書によると、2021年の情報漏洩の82% が”人的要素”によるものだと報告されています。これにはフィッシング攻撃に引っかかる、一度盗まれたクレデンシャルを再利用する、内部関係者の不正行為、または設定ミスなどの行為が含まれています。 会社を守る上で、従業員を教育することは必要不可欠です。例えば、フィッシング攻撃を通しいて不正なユーザーがクレデンシャルを入手した事象が起こったなら、フィッシングメールの見分け方についてチーム全体で会議を行うことを検討することをお勧めします。
実際に、Anti-Phishing Working GroupによるPhishing Activity Trendsレポートによると、1,025,968件ものフィッシング攻撃が2022年の第一四半期だけで発生し、2021年の第四四半期と比べて15%も上昇しています。 最新のサイバーセキュリティニュースをいつも目を通し、被害者を騙すサイバーアタッカーの手口を知っておくことが必要不可欠です。
今後の行動に注意しましょう。疑わしいハイパーリンクをクリックすることを避けましょう。信頼できるウェブサイトでのみ取引を行いましょう。ブラウザの拡張機能をクリーンアップし、アクセス許可を調整しましょう。あなたの機密情報がダークウェブに再流出するのを防ぐ方法、あるいはそもそも流出するのを防ぐ方法については、引き続きお読みください。
あなたの情報がダークウェブ上に流出するのを防ぐ対策方法
セキュリティ態勢を強化することは、アタッカーから身を守るための最善の方法です。ダークウェブへの情報流出を防ぐため、以下の推奨事項を参照してください。
パスワードマネージャーを使う
脆弱なパスワードとパスワードの再利用はアカウント流出の主な原因です。 Results from Keeper2022年パスワード実践報告から、以下の結果が出ました:
- 45~54歳の回答者の34%が、パートナー/配偶者にパスワードを任せたことがある。
- 56%の回答者がパスワードの再利用に罪悪感を抱いており、複数のサイト/アプリで同じパスワードを使用している。
- 18~24歳の回答者の24%が、パスワードを作成する際に誕生日を使用している。
パスワード管理ツールは、パスワードの安全性を監査し、弱いパスワードやパスワードの再利用を通知することで、弱いパスワードに対策に役立ちます。また、パスワード管理ツールは、強力なパスワードを作成するパスワードジェネレーターを提供します。パスワードはデジタルボルトに保存され、暗記する手間を省くことができます。自動入力機能により、ログイン情報を入力する手間を省き、キーロギングを防止します。
ダークウェブ監査や高度なレポートやアラートなどの機能を追加することで、セキュリティを強化し、より強固な保護が可能になります。以下のリンクでダークウェブ監査の詳細を動画で見てみましょう。
多要素認証を有効にする
Microsoftによると、多要素認証 (MFA) を有効化することでアカウントのパスワード関連のサイバーアタックを99.9%防ぐことができます。従業員に可能なアカウントの多要素認証を有効化することを義務付けましょう。
仮にサイバー攻撃者が会社のクレデンシャルを入手したとしても、MFAは不正なユーザーがお客様のアカウントにさらにアクセスすることをブロックします。アタッカーがログインを試みると、MFAはアタッカーに次のように促すことがあります:
- SMSまたはメールで受信する認証コードを入力する
- 生体認証または指紋認証
- 従業員に関するセキュリティ質問に答える
公共のWiFiの使用を避ける
2022年には、多くの企業がリモートワークまたはハイブリッドに業務形態を変更したので、チームはどこにいてもパスワード衛生を実施しなければなりません。公共のWiFiはあなたとチームメンバーのセキュリティと情報を危険に晒す可能性があります。公共のWiFi利用者は、アタッカーが公共のWiFi接続を利用してブラウザやアプリにアクセスし、データにアクセスする中間者(man-in-the-middle)攻撃を受ける可能性があります。
職場外で働いている時に、記録を安全に保つためにプライベートなネットワークに接続すると便利です。どうしても公共のWiFiを使用しなければならない場合は、VPNを使用しましょう。 リモートワーク時にできる最も優れたパスワード衛生の実施についてはこちらをお読みください。
よくあるご質問
実際ダークウェブは個人情報に対して脅威となりうるのでしょうか?
はい。一度あなたの情報がダークウェブ上に流出すると、その流出した情報だけでなくその他のアカウントや情報までにも危険が及びます。この深刻さはオンラインアカウントの流出から全ての個人情報の盗難にまで至ります。個人情報の安全性を確保するための予防措置を講じましょう。
どうやって私のメールがダークウェブに流出したのでしょうか?
情報がダークウェブに流出する方法は無数に存在します。無数の方法に加え、サイバー攻撃者は主にマルウェア、フィッシング、ブルートフォース攻撃、ソーシャルエンジニアリングを使ってクレデンシャルを奪いにかかります。
さらに、使用中のクラウドプラットフォームで情報漏洩がなかったかどうか確認してください。これもクレデンシャルの漏洩になりかねません。
ダークウェブ上から流出した情報を取り除くことは可能ですか?
一度ダークウェブ上に流出した情報を取り除くことは、事実上不可能と言えるでしょう。可能にするためには、一番最初にダークウェブ上にその情報を掲載した人物を特定し、その人物に連絡を取り、削除を依頼する必要があります。ダークウェブの匿名性を考慮すると、その人物を特定することはほぼ不可能でしょう。
自分のメールがダークウェブ上にあるかどうか、どの様に知ることができるでしょうか?
ダークウェブ監査ツールを利用することで、あなたのメールもしくは個人情報がダークウェブ上に漏洩した時に通知を受け取ることができます。その通知を受け取ることで、サイバー攻撃者からの被害を被る前に即座に行動することができます。
まとめ:Keeperで組織をダークウェブから守る対策を!
BreachWatchのようなダークウェブ監査ツールは、あなたとあなたのチームメイトをメールアドレスや情報がダークウェブ上に流出する危険性から守る手助けとなります。メールを無料でスキャンして、あなたのサイバーリスクの状況がどの様なものかチェックしてみましょう。
この機会にKeeperパスワードマネージャーの30日間の個人版フリートライアルまたは、14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。