データ産業は、従業員、顧客、取引先に関するデータを包括的に収集しています。これらを守るには、ファイアウォールや侵入検知だけではもはや十分ではありません。
Digineer Station – shutterstock.com
ネットワーク化されたビジネス環境において、企業は前例のないサイバーセキュリティ上の課題に直面しています。IBM「Cost of a Data Breach Report 2024」によれば、フィッシングによって引き起こされるデータ漏えいの平均コストは約488万ドルに上ります。業界推計では、フィッシングメールは毎日約34億通送信されています。同時に、世界のデータブローカー産業は2024年に推定2,800億ドル規模へと拡大しています。この産業は、従業員、顧客、取引先に関する情報を体系的に収集しており、多くの場合、本人の知らないところで行われます。ファイアウォールや侵入検知といった従来のセキュリティ概念では、もはや十分ではありません。
ファイアウォールと侵入検知の限界
ファイアウォールは不可欠ですが、根本的な制約があります。主として受動的で、既知の脅威に合わせて設定されるためです。毎日30万種の新たなマルウェア亜種が生まれる状況では、重大なセキュリティギャップが生じます。さらに、主眼は「誰も社内ネットワークに侵入させない」ことに置かれがちで、機密データが外部へ無制限に送信されていても見過ごされることが少なくありません。
一方、侵入検知システム(IDS)は、侵入者がすでにシステム内に入ってから初めて検知します。火災を防ぐのではなく、火災を知らせる煙探知機に似ています。高度持続的脅威(APT)は、このようにして何カ月もネットワーク内に潜伏し、発見されないままになり得ます。
データ産業が貴社について把握していること
データブローカーは、企業が認識している範囲をはるかに超える情報を体系的に収集しています。業界報告によれば、主要なデータブローカーは世界のオンライン人口の推定70%の個人データを収集しています。この産業の市場価値は2024年に約2,800億ドルで、世界のサイバーセキュリティ市場を上回ります。
収集されるデータは企業そのものだけでなく、従業員、顧客、取引先にも及びます。
危険なのは、これらのデータが職場での日常的なインターネット利用を通じて、継続的かつ気づかれないまま流出していることです。ウェブサイトの閲覧、アプリの利用、接続されたあらゆるデバイスがデータ提供者になります。従来のファイアウォールには、このデータ流出は正当な外向き通信として見えるため、可視化されません。
データ産業は従業員についても広範な情報を収集します。閲覧時のIPアドレスから位置情報や移動パターンが推定されます。そこから、従業員がどの技術を調査しているか、どのプロジェクトに携わっているか、どの競合を分析しているかといった詳細なプロファイルが作られます。
職務上の役割やポジションも把握されます。LinkedInやXingのようなキャリアポータル上のトラッカーはプロフィール閲覧やインタラクションを記録し、ブラウザ・フィンガープリンティングはCookieがなくても再訪問者を特定します。企業ドメイン、閲覧行動、ソーシャルメディア活動を組み合わせることで、具体的な人物とその意思決定権限に紐づけることが可能になります。通信パターンとメタデータについて言えば、暗号化メールであってもメタデータはすべて読み取られ得ます。
顧客や取引先 についても機微な情報が収集されます。従業員が顧客サイトを訪問したりパートナーポータルを利用したりすると、埋め込まれたトラッカーがこれらのつながりを把握でき、訪問頻度から取引関係の強さまで推測されます。特定の技術、業界、市場に関する調査はブラウザ追跡によって記録されるため、プロジェクト情報も可視化されます。そこから、どのプロジェクトが進行中か、どの投資が計画されているかを推定できます。クラウドベースのCRMシステム、プロジェクト管理ツール、コラボレーションプラットフォームの利用時には、埋め込まれた分析スクリプトが処理される顧客データに関する情報を収集することもあります。
データブローカーは、身元調査、マーケティング、信用調査などの合法的サービスとして自社データベースを提供しています。つまり、サイバー犯罪者や国家主体のアクターであっても、これらのデータを容易に購入できるということです。
サイバー犯罪者がこれらのデータをどう利用するか
CEO Fraud(経営者なりすまし詐欺)では、攻撃者がCEOや幹部になりすまし、従業員に送金を促します。FBIによれば、2013年から2023年の間に30万5,000件超の事案が発生し、世界全体で550億ドル超の損失につながりました。データブローカーが収集した役職、出張予定、進行中プロジェクトに関する情報は、こうした攻撃を驚くほど信憑性の高いものにします。2024年には、企業の64%がこの種の攻撃を受けたと報告しています。
スピアフィッシングは、ばらまき型フィッシングとは異なり、特定の従業員を狙います。役割、プロジェクト、連絡先に関する知識をもとに、攻撃者は高度にパーソナライズされたメッセージを作成します。スピアフィッシングはメール全体の0.1%未満に過ぎないにもかかわらず、全データ侵害の66%の原因となっています。
追加の脅威としての国家主体
サイバー犯罪者に加え、国家資金で支援されるハッカー集団が企業にとって増大する脅威となっています。いわゆるネーションステート・アクターは潤沢なリソースを持ち、データブローカーが収集した情報を、標的型の産業スパイや破壊工作に利用します。
数字は憂慮すべきものです。CrowdStrikeによれば、中国のサイバースパイ活動は2024年に150%増加し、特定の業界では最大300%に達しました。BSIは2024年、1日平均30万9,000件の新たなマルウェア亜種を記録しました。Microsoftによると、国家支援型サイバー攻撃の大半はロシア、中国、イラン、北朝鮮のグループによるものです。APT27、APT28、APT29、APT31、APT41、Lazarus Group、Kimsukyといった既知のAPT(Advanced Persistent Threats)グループだけでも、西側企業に対して数百のアクティブなキャンペーンを展開しています。
これらのグループは、データブローカーが保有する情報を、精密な標的特定、ソーシャルエンジニアリング攻撃、そして企業ネットワークへの長期的かつ発見されにくい侵入に活用します。侵害されたネットワークにおけるAPTの平均滞在期間は数カ月に及び、機密の企業秘密を持ち出すには十分な時間です。
デジタル・インテグリティとは何か
デジタル・インテグリティは、データの完全性、正確性、完全性(欠落のなさ)を指すとともに、デジタル上のアイデンティティと通信を不正アクセスから守る権利を意味します。企業にとっては、デジタル情報が不正に改ざんされたり傍受されたりしてはならないということです。従業員、顧客、取引先は、自分たちのデータが保護されていると信頼できなければなりません。
企業向けの保護対策
Security & Privacy Boxはファイアウォールの発展形であり、企業からの意図しない情報流出を大幅に減らすのに役立ちます。
重要なのは、そのソリューションが信頼できることです。監視ツールとして悪用されないこと、トラッカーが金銭で免罪されないこと、そしてメーカーが広告収益やデータ取引から独立していることが求められます。
Security & Privacy Boxの導入に加えて、CISOはさらに追加の対策を実装すべきです。これには、フィッシングやソーシャルエンジニアリングに関する定期的な従業員教育、外部クラウド事業者の利用ではなく機微データの自社ホスティングが含まれます。「誰も信用せず、すべてを検証する」という原則に基づくゼロトラスト・アーキテクチャは重要な基盤となります。
加えて、どの企業データが公開状態になっているかを定期的に確認すべきです。(jm)
