個人情報には、氏名、住所、電話番号、生年月日、顔写真、クレジットカード番号、銀行口座番号、メールアドレスなど、多種多様な情報が含まれます。
企業が扱う情報量が増える一方で、情報漏洩のリスクも増大しています。漏洩した情報はダークウェブ上で取引されることもあり、世界中から個人情報を見られる可能性もあります。
ダークウェブなどに、個人情報が漏洩していないかを確認するための方法は大きく2つに分けられます。1つ目は自身でツールを使用して調査する方法、2つ目は専門の調査会社に依頼する方法です。
本文では、これら2つの調査方法について紹介します。さらに、漏洩時の対処方法や、漏洩を防ぐための予防策についても詳しく解説します。
目次
個人情報保護法改正により、情報漏洩には重い罰則が科せられている
措置命令違反の罰則
個人情報保護委員会の措置命令に違反した場合、事業者には最大で6か月の懲役または30万円以下の罰金が科せられます。
報告義務違反の罰則
悪意のある第三者による個人情報漏えいが発生し、速やかな報告が求められる場合、報告義務を怠った事業者には最大で1年の懲役または50万円以下の罰金が科せられます。
>情報漏えいが発生した企業の個人情報保護委員会への報告義務についてはこちら
ツールを使用して確認する方法
ここでは個人情報が漏洩していないかを確認するツールについて説明します。
たとえばFacebookなどのSNSやDropboxなどのWebサービスで使用しているアカウント(メールアドレス)とパスワードが漏洩しているかどうか、チェックしてくれるWebサイトやソフトウェアがあります。ここでは「Have I Been Pwned」「Firefox Monitor」「ノートン ダークウェブ モニタリング」の3つについて紹介します。
Have I Been Pwned
「Have I Been Pwned」はメールアドレスを入力するだけで、個人情報やパスワードが流出したかどうか確認できるWebサイトです。
「Pwned」とはネットスラングで、本来は「Owned」とつづるそうです。日本語にすると「やられた」「完敗した」などの意味になります。ちなみに「Have I Been Pwned」はセキュリティ研究者であるトロイ・ハント氏(Troy Hunt)が運営しているサイトです。トロイ・ハント氏はMicrosoft MVPの受賞経験もある立派な技術者です。
「Have I Been Pwned」のサイトで公開している、情報漏洩が明らかになったサイト数は2019年7月現在で387サイトであり、漏洩されたアカウント数は約82億件です。世界規模で見ると、膨大な件数の情報漏洩が起きてしまったことがわかります。
トップページにメールアドレスを入力する欄があるので、ここに自分のメールアドレスを入力します。
メールアドレスを入力して「pwned?」のボタンをクリックしましょう。もしメールアドレスに対応するパスワード情報が漏洩していると、以下のような画面になります。
「Oh no – pwned!」のメッセージと共に、情報漏洩しているWebサイトと、どのような情報が漏洩しているのか表示されます。
もし何も情報が漏洩していなかったら、以下のようなメッセージが表示されます。
「Good news – no pwnage found!」のメッセージが表示されます。これは入力したメールアドレスに関連するパスワードなどの情報が漏洩していないことを表しています。
漏洩した情報のデータベースは随時更新されており、流出件数や規模、そして流出元のサイトも公開されています。「Who’s been pwned」のメニューをクリックすると、実際にどのサイトから情報漏洩が発生したのか確認できます。その中にはAdobeやDropboxなど有名なWebサービスも含まれています。
Pwned Passwords(Have I Been Pwned)
「Have I Been Pwned」にはパスワードが流出しているかどうか確認できるページもあります。
「password」の入力欄に調査したいパスワードを入力します。もし入力されたパスワードが漏洩していると、以下のようなメッセージが表示されます。
「Oh no – pwned」のメッセージに続き「This password has been seen 4 times before」と表示されています。先ほど入力したパスワードは過去4回も情報漏洩していたようです。
試しにパスワードとして「123456」と入力してみた結果が以下の通りです。
パスワード「123456」は2300万回も情報漏洩していたようです。このような単純な文字列をパスワードとして使っている方は、今すぐパスワードを変更するべきだと言えます。
Firefox Monitor
「Have I Been Pwned」のようなサイトを日本語で公開しているサイトもあります。それが「Firefox Monitor」です。
「Have I Been Pwned」と同様にメールアドレスを入力して、それに関連する個人情報があるかどうか調査するサイトです。日本語に完全対応しているため、日本人にとってはこちらの方が使いやすいでしょう。
メールアドレスを入力して「データ侵害を確認する」をクリックすると、メールアドレスに関連した個人情報が漏洩しているかどうか確認できます。
このように完全に日本語で表示されます。ちなみにFirefox Monitorでは、先ほど紹介した「Have I Been Pwned」のデータベースから情報を取得しています。
ちなみに入力したメールアドレスに関する情報漏洩が無かった場合は、上のように「0個の既知のデータ侵害があります」と表示されます。この状態でしたら安心です。
ノートン ダークウェブ モニタリング
「ノートン」の愛称で有名なセキュリティ対策ソフトを販売しているシマンテックが、これまでになかったセキュリティ対策ソフトを公開しました。それが「ノートン ダークウェブ モニタリング」です。
このソフトはその名の通り「ダークウェブ」を「モニタリング」するためのソフトウェアです。ダークウェブとはインターネットの中でも通常のWebブラウザではアクセスできない領域の部分を指した言葉です。Googleなどの検索エンジンにもヒットせず、データは全て暗号化されています。
このような性質から、ダークウェブ内では不正アクセスにより入手した個人情報やクレジットカード番号情報などの売買が行われています。
個人情報の漏洩チェック後に、どう対処すべきか
個人情報の漏洩が確認された場合、漏洩した個人情報の流出先や漏洩の範囲を特定し、被害の拡大を防止するため、迅速かつ適切な対応を行う必要があります。
また、個人情報保護法では、個人情報の漏洩が発生した場合、おおよそ3~5日以内に個人情報保護委員会へ具体的な被害を報告することが義務付けられています。
しかし、漏洩した個人情報の流出先や漏洩の範囲を特定するために、コンピューターやネットワークのデータを調査する必要がありますが、自力での調査では、データの読み取りや書き込みを行う過程で、証拠が破損、ないし改ざんが発生する可能性があります。これは、情報漏洩の原因や経緯を特定する上で、重大な障害となります。
個人情報の漏洩を詳しく調査する場合「フォレンジック」調査が有効
個人情報の漏洩が発生した場合、自力での調査ではなく、専門のフォレンジック調査会社に依頼することをおすすめします。フォレンジック調査会社は、豊富な経験と知識を有しており、迅速かつ適切な調査を行うことができます。
フォレンジック調査
ハッキング・不正アクセス・情報漏洩調査に活用される技術として「フォレンジック」というものがあります。これは別名で「デジタル鑑識」とも呼ばれ、スマホやPCなどの記憶媒体、ないしネットワークに残されているログ情報などを調査・解析する際に用いられます。
フォレンジックは、最高裁や警視庁でも法的な捜査方法として取り入れられており、セキュリティ・インシデントの調査において最も有効な調査手法のひとつとなっています。
例えば、情報漏えいの事実を確認する場合、フォレンジックを活用することで、端末やネットワークのログ、電子メールの内容、マルウェアの感染経路、不正アクセスの形跡などの情報を収集・解析することができます。
不安な場合は、情報漏洩調査に対応しているフォレンジック専門業者への相談を検討しましょう。
個人情報流出・漏洩に関する調査会社を選ぶときのポイント
個人情報の流出・漏洩に関する調査を依頼する場合、高い費用と労力をかけたにもかかわらず、「簡単な調査しかしてもらえなかった」「裁判所や警察などに証拠不十分と言われた」となっては意味がありません。
そのような事態を避けるため、ここで調査してもらえば間違いないという調査会社を見極める必要があります。
官公庁・捜査機関・大手法人の依頼実績がある
個人情報の流出・漏洩に関する調査は、専門的な知識や技術が必要なため、実績と信頼性のある調査会社を選ぶことが重要です。流出・漏洩の調査会社の実績は会社によって異なり、そもそも実績を公表していない会社も多くあります。
一方、官公庁・捜査機関・大手法人などの実績がある会社は、一定の信頼性があると判断できます。また、過去の調査実績を参考にすることで、自社のニーズに合った調査会社かどうかを判断することができます。
特に調査実績が認められ第三者機関からの表彰されているような会社ほど、調査に関する知識やノウハウが蓄積しています。HPに掲載されている表彰歴・受賞歴を確認することをおすすめします。
スピード対応できる・出張での駆けつけ対応が可能
個人情報の流出・漏洩に関する調査は、迅速に行われるべきであり、スピード対応できる会社を選ぶことで、被害の拡大を防止できます。24時間365日受付の会社であれば、調査開始までの時間を短縮でき、より迅速に調査を開始することができます。
費用形態が明確である・自社内で調査しており外注費用がかからない
個人情報の流出・漏洩に関する調査を依頼するときは、まず無料で相談~見積まで対応してもらえる会社に相談して見積を出してもらうことをおすすめします。調査会社で料金が変化する要素は以下があります。
受付だけして作業を外注している会社は、仲介料金が発生するため、他社と比較して高額になりやすい傾向があります。一方、自社内で調査できる会社は不要な中間コストを削減でき、業界水準と比較して安価に調査できる場合があります。
法的証拠となる調査報告書を発行できる
個人情報保護委員会への報告などで個人情報の流出・漏洩に関する調査を行う場合は、法的利用が可能な調査報告書を発行できる調査会社に調査を依頼しましょう。
法的利用が可能な調査報告書は、行政機関に提出できる法的証拠としても利用できます。
セキュリティ体制が整っている
個人情報の流出・漏洩に関する調査では、セキュリティ体制が整っている会社を選びましょう。「プライバシーマーク」や「ISO認証」などの世界基準で規定されているセキュリティ認証を所有している会社は信頼できます。他にも、経済産業省が規定した「情報セキュリティーサービス基準」にクリアした企業はセキュリティ面で信頼がおけます。
情報セキュリティサービス基準とは?
近年高まるセキュリティ対策の必要性に応じて、専門知識をもたない人でも一定以上のサービス品質を満たしているかどうか判断できるように経済産業省が規定した基準です。セキュリティーサービス基準を満たした調査会社についてはこちらの記事でも紹介しています。
おすすめの個人情報の流出・漏洩に関する調査会社
個人情報の流出・漏洩が発生している可能性がある場合、個人情報保護の観点から、情報漏洩や不正アクセス被害の有無を確認するなど適切な対応をとる必要があります。
このような情報漏洩や不正アクセス被害の調査や対応においては、調査会社との提携が重要です。
ただ、個人情報の流出・漏洩の調査には高度な技術と知識が必要であり、信頼できる業者も限られますが、上記のポイントから厳選したおすすめの業者が、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累計39,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと。第三者機関による、データ復旧サービスでの売上の調査結果に基づく(算出期間:2007年~2020年)
デジタルデータフォレンジックは、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。累計2.4万件以上の相談実績を持ち、大手企業や警察からの捜査依頼も多数解決しているため、実績・経験は申し分ないスマホのハッキング調査対応業者です。
調査・解析専門のエンジニアとは別に、相談窓口として調査専門アドバイザーも在籍しており、年中無休で対応しているため、初めて調査を依頼する場合でも安心して相談することができます。なお、法人/個人を問わず対応しており、見積まで無料のため費用面でも安心といえます。
個人情報流出の危険性とは
なぜ個人情報の流出には危険が伴うのでしょうか? 個人情報の流出には、以下の3つの危険が伴います。
- なりすましや不正利用による被害
- プライバシーの侵害
- 情報管理体制の不備による責任追及
なりすましや不正利用による被害
個人情報の流出により、悪用者は本人になりすまして、クレジットカードや口座の利用、ネットショッピング、オンラインバンキングなどを行うことができます。また、個人情報をもとに、架空請求や詐欺、ストーカーなどの被害に遭う可能性もあります。
プライバシーの侵害
個人情報の流出により、本人の住所や電話番号、勤務先や家族構成などの情報が不特定多数の人に知られてしまうと、プライバシーの侵害や、信用情報の悪用によるトラブル、嫌がらせや脅迫などの精神的被害に遭う可能性があります。
このように個人情報の流出は、個人の生活や社会生活に大きな影響を及ぼす可能性があります。そのため、個人情報の取り扱いには十分に注意し、流出を防止することが重要です。
情報管理体制の不備による責任追及
個人情報保護法では、個人情報を取り扱う事業者には、個人情報の漏洩、滅失、毀損の防止その他の安全管理のために必要かつ適切な措置を講じる義務が課されています。この義務を怠った場合、事業者には行政処分や損害賠償の責任が問われる可能性があります。
行政処分としては、個人情報保護委員会による行政指導や、行政罰(命令、勧告、指示、公表)が考えられます。また、民事訴訟においては、事業者の不法行為(違法性・故意・過失)と被害者の損害との因果関係が認められれば、事業者は損害賠償の責任を負うことになります。
個人情報流出の現状
近年、個人情報流出事件は増加傾向にあります。2023年に上場企業およびその子会社で個人情報の漏洩・紛失事故を公表したのは175件、漏洩した個人情報は前年(592万7,057人分)の約7倍の4,090万8,718人分に達しました。社数147社と東京商工リサーチが調査を開始した2012年以降で2番目の記録であり、個人情報保護に対する企業の意識が引き続き問われる結果となりました。
出典:東京商工リサーチ
出典:東京商工リサーチ
2023年の情報漏洩・紛失事故の175件のうち、原因別は、「ウイルス感染・不正アクセス」の93件(構成比53.1%)が最多で、半数以上を占めています。次いで、「誤表示・誤送信」が43件(同24.5%)で、メール送信やシステムの設定ミスなどの人為的な要因も多いので、紛失や置忘れ、誤操作などヒューマンエラーによる個人情報漏洩の方も多いことがわかります。
画像出典:JNSA
コンピュータで管理されている個人情報はデジタルデータであり、複製やコピーが簡単に行えます。もし漏洩が発生してしまったら、情報の完全な回収は不可能です。
ダークウェブ上での漏洩とその影響
流出した個人情報はどこに行きつくのでしょうか?その一つとしてダークウェブが挙げられます。ダークウェブとは、ネットの表層部分(ウェブ)とは異なり、通常のブラウザではアクセスできない匿名性の高いネットワークです。
ダークウェブでは、個人情報やクレジットカード番号、パスワードなどの情報が売買されており、個人情報がダークウェブ上で流出すると、不正利用や詐欺などの被害に遭う可能性が高くなります。
ダークウェブ上での個人情報流出は、企業や個人にとって大きな脅威となっています。詳細については下記の記事で詳しく解説しています。
実際の個人情報漏洩事件
日本国内で発生した代表的な個人情報漏洩事件をご紹介します。
- 2ちゃんねる個人情報流出事件
- ベネッセ個人情報流出事件
- 年金管理システムサイバー攻撃問題
- パナソニックの情報漏洩
- JTBのアクセス権限譲渡による情報漏洩
- トヨタ自動車株式会社がクラウド環境の誤設定により情報漏洩
2ちゃんねる個人情報流出事件
2ちゃんねる個人情報流出事件とは、2ちゃんねるの有料サービス「2ちゃんねるビューア」の利用会員の個人情報が、2013年8月、Torネットワーク上のOnionちゃんねる(Tor板)に大量に流出した事件です。流出した個人情報には、氏名や住所など登録者情報や、トリップ情報(なりすまし防止の認証機能)など約20万人の個人情報が含まれていました。
二次被害として書き込み主を特定する晒し行為が発生し、書き込み主は会社から退職勧告を受けたり、自宅にいたずらされたりするなど、深刻な被害を被りました。
参考:Yahoo!ニュース
ベネッセ個人情報流出事件
ベネッセ個人情報流出事件は、2014年6月、ベネッセが展開する教育サービスに会員登録をしている各家庭に、全く関係のない企業からダイレクトメッセージが届くようになったことで判明しました。
この問題を受け、ベネッセでは社内調査を行い、進研ゼミを始めとする展開サービスへの登録会員約2,900万件の個人情報が漏洩していることが判明しました。漏洩した個人情報には、保護者氏名、子供氏名、子供性別、子供生年月日、住所、電話番号、出産予定日、メールアドレスが含まれています。
ベネッセはシンフォームに会員情報管理を委託していましたが、実際にはシステム保守は別の業者に再委託され、管理業務は再委託先の従業員が行っていました。この過程で派遣社員が約20回、情報を持ち出したのが事件の原因です。
この派遣社員が持ち出した個人情報は、重複分も含めると約2億300万件にも上ります。その後、持ち出された個人情報は名簿業者への売却を経て、数十社に転売され、各社からダイレクトメールが届くことになりました。
この事件は、ベネッセが個人情報の取り扱いに関するルールを明確にしなかったこと、個人情報にアクセスできる人を制限しなかったことが要因となり発生したとされています。
参考:ITmedia
年金管理システムサイバー攻撃問題
年金管理システムサイバー攻撃問題とは、2015年5月、日本年金機構の年金管理システムに不正アクセスされ、約125万人の個人情報が流出した事件です。流出した個人情報には、氏名、住所、生年月日、年金番号、加入年数、被扶養者情報などが含まれています。
この事件は、不正なexe形式のファイルを添付したメールを職員が開封したことで発生したとされており、年金管理システムのセキュリティが不十分であったことが浮き彫りになりました。
参考:日経クロステック
パナソニックの情報漏洩
2021年11月26日パナソニック株式会社は、パナソニックのファイルサーバーに不正アクセスが確認されたことを発表しました。
2021年6月~11月にかけて第三者が、当社海外子会社のサーバを経由しパナソニックのファイルサーバーに不正アクセスが確認されました。ファイルサーバーには、同社への採用応募者とインターンシップ参加者の氏名やメールアドレス、電話番号、住所、学歴などの個人情報や、取引先との業務上の連絡先情報が含まれていました。
不正アクセスをされたファイルの外部流出は、調査した結果、確認してないとのことです。パナソニックは、海外拠点からの通信制限などセキュリティ強化を実施し、不正アクセスに用いられたアカウントのパスワードのリセットやファイルサーバ等へのアクセスの監視強化など、さらなる被害を防ぐための緊急措置を講じたと発表されています。
JTBのアクセス権限譲渡による情報漏洩
JTBは、2022年10月25日官公庁の補助業者として実施している地域振興事業で、補助金交付を申請した事業者など1万人超の個人情報が漏洩したと発表しました。
概要としては、間接補助事業者に対して、情報共有用のクラウドサービスのアクセス権限を制限して渡すところを、クラウドサービス内に格納したデータへの個別アクセス権限を誤って設定したことにより、他事業者の個人情報を含むデータにアクセスできる状態になっていました。
なお、漏洩した情報には、1,698件の申請書や11,483人分の個人情報(組織名、部署名、役職名、氏名、電話番号、メールアドレスなど)が含まれていました。JTBは事業者に削除依頼をし、すべての事業者から削除完了の通知を頂いたと発表しています。
トヨタ自動車株式会社がクラウド環境の誤設定により情報漏洩
2023年5月12日にトヨタ自動車株式会社は、トヨタコネクティッド株式会社に管理を委託するデータの一部が、クラウド環境の誤設定により、公開状態となっていたことを公表しました。
この公開状態になっていたことによる情報漏洩の可能性のある個人情報は約215万人であり、車載端末ID、車台番号、車両の位置情報、時刻が漏洩した可能性のある顧客には、登録しているメールアドレス宛に、本日より、お詫びとお知らせを個別に送る対応をしました。
データ取扱いのルール説明・徹底が不十分だったことなどが主な原因であり、従業員への教育を徹底し、再発防止に取り組むと同時に、クラウド設定を監査するシステムを導入し、クラウド環境の設定調査を実施、および継続的に設定状況を監視する仕組みを構築すると発表がありました。
出典:トヨタ自動車株式会社
個人情報が漏洩していた場合の対応
ツールでの個人調査をして、パスワードなどの情報が漏洩していた、あるいは別の方法で個人情報の漏洩が確認できた場合、以下で紹介する方法で対応しましょう。
メールアドレスやパスワードの変更
Webサイトのログインに使用しているメールアドレスやパスワードを変更しましょう。特にパスワードは変更後、厳重に管理することが必要です。
また管理の手間を省く目的で、他のサイトと同じパスワードを設定することは、あまり好ましくありません。漏洩したメールアドレスとパスワードをセットにして攻撃する「パスワードリスト攻撃」の標的になる可能性があるからです。同一のメールアドレスを使ってWebサービスを使用する場合は、パスワードは必ずユニークな文字列のものを設定しましょう。
不正利用が行われていないか確認
比較的セキュリティ対策がしっかりしているWebサービスの場合、ログイン履歴を公開しているものがあります。例えばGmailでは「アカウントのアクティビティ」のページで、「ログインしたブラウザ・アプリ」「ログインしたIPアドレス」「ログイン日時」を表示させることができます。
もし自分のアクセスではない第三者のアクセスを検知したら「他のすべてのGmailのウェブセッションからログアウトする」をクリックすることで、強制的にすべての端末においてGmailからログアウトさせることが可能です。
関連機関へ連絡(クレジットカード会社やサービス運営企業等)
漏洩した情報が、もしクレジットカード番号やWebサービスのログイン情報だった場合は、すぐに関連機関へ連絡を取りましょう。クレジットカード番号の場合、身に覚えのない請求が届いた場合は、すぐにカード会社に連絡を取ることが重要です。
また最近ではクレジットカード番号の情報漏洩が発覚すると、すぐにニュースサイトなどで報道されるケースが多くなっています。もし自分が使っているWebサービスにてクレジットカード番号の情報漏洩の報道を確認しても、まずは落ち着いて対処しましょう。報道されている時点で、流出したクレジットカード番号は無効になっているはずなので、あわてる必要はありません。
調査会社に相談する方法
上記では個人情報が漏洩していた場合の対応についてご紹介しました。実際に対応してみたけれど情報漏洩に関してまだ不安がある場合は、調査会社に相談するのも一つの方法です。
実績のあるプロの調査会社であれば最新の動向や調査に関するノウハウも蓄積されていますので、ツールやWebサービスの表面的な調査では得られないような情報をより詳しく知ることができます。
万一、情報漏洩していた場合、時間が経つにつれて被害が拡大してしまう危険性も考えられます。無料相談を受け付けている調査会社もあるため、不安な場合はまず専門家に相談することをおすすめします。
個人情報の漏洩を詳しく調査する場合「フォレンジック」と呼ばれる調査が有効です。
フォレンジック調査については、以下の記事で詳しく説明しています。
情報が漏洩していなくても行うべき対策
ここで紹介した方法で個人情報の漏洩が確認した結果、漏洩していなかった場合においても、普段から以下のような対策を行うことが重要です。
OSやソフトウェアのアップデート
WindowsやMax OSなどのOSやMS Officeなどのアプリケーションソフトウェアの定期的なアップデートを欠かさないようにしましょう。ソフトウェアには脆弱性が付き物であり、開発者は脆弱性を発見次第、すぐに修正を行い、最新版のソフトウェアを公開しています。
特に脆弱性の発見から開発者による修正のタイムラグを利用して攻撃する「ゼロデイ攻撃」による被害は深刻です。少しでも無防備な状態を短くするためにも、使用しているOSやソフトウェアのバージョンアップ情報を定期的にチェックし、常に最新のバージョンのソフトウェアを使用することが重要です。
ID・パスワードの工夫
日常的に使うIDやパスワードに工夫をして管理するのもおすすめです。現在は様々なWebサイトがIDやパスワードによるログイン機能を設けていますが、それぞれのサイトで別々のパスワードを設定するのは、大変ですし記憶するのも難しいでしょう。
パスワードを設定する時に使えるちょっとしたテクニックを紹介します。例えばパスワードとしてベースとなる文字列を1つ決めて、ログインするWebサイト別に特定の文字列を追加してパスワードとして利用する方法です。
例えば、ベースとなる文字列が「abcdefg」とした場合、Twitterなら「_tw」、facebookなら「_fb」のようにWebサービスの略語を追加して使うのです。この場合、Twitterのパスワードは「abcdefg_tw」となり、facebookなら「abcdefg_fb」となります。考え方としては少し安易な気がしますが、パスワードリスト攻撃のような機械的な攻撃に対しては有効に働きます。
これと同じような方法がGmailのメールアドレスでも使えます。Gmailではアカウント名に「+」を付けて追加した文字列を、文字列を追加していないアカウント名と同じように扱います。例えば、
emailaddr@gmail.com
emailaddr+fb@gmail.com
emailaddr+tw@gmail.com
このようにアカウント名の後半に「+fb」や「+tw」を付けたメールアドレスを使用しても、実際には「emailaddr@gmail.com」のアカウントとして処理され、このメールアドレスにメールが届きます。つまり「+」の後にログインするWebサイト別のユニークな文字列を設定することで、メールアドレスもWebサイトごとに使い分けることができるのです。
例えば仮にTwitterから情報が漏洩した場合、対応するメールアドレスとして「emailaddr+tw@gmail.com」を使用していれば、すぐにTwitterから個人情報が漏洩したことが分かるようになります。これはGmail限定の仕様ですが、このような方法でメールアドレスを使い分けるのも一つの方法です。
情報漏洩に適したセキュリティ製品を導入する
マルウェアは1日に100万種超の勢いで増殖し続けており、セキュリティソフトによるマルウェア対策も限界を迎えつつあります。従来のセキュリティソフトで防御できるマルウェアは全体の約45%と言われており、マルウェアの侵入を防ぐセキュリティ対策を用いてマルウェアに対処することは不可能といっても過言ではありません。
しかし、現代のマルウェアに対応したセキュリティ製品は一定数存在しています。たとえばマルウェア感染後の監視型駆除や、外部との不正通信(情報漏洩)を検知・遮断する、新しい機能を持ったセキュリティ製品であれば、情報漏洩をもたらす悪質なマルウェアへの対策が可能です。
おすすめ製品については、下記の記事で紹介しています。
定期的なセキュリティ診断
定期的にセキュリティ診断を行うことで、システムやネットワークの脆弱性を早期発見し、対策を講じることで、個人情報流出などの被害を未然に防ぐことができます。なぜなら脆弱性が日々新たに発見され、これが悪用される前に対策を講じる必要があるためです。
セキュリティ診断では、脆弱性情報の収集、脆弱性スキャニング、およびペネトレーションテストを通じて、システムやネットワークの脆弱性を早期に検出し対策を講じることが可能です。これにより、情報漏洩やシステム停止などの被害を未然に防ぐことができます。
ユーザー認証の強化
ユーザー認証とは、システムやネットワークにアクセスする際に、ユーザーであることを確認するプロセスです。ユーザー認証を強化することで、不正アクセスによる情報漏洩を防ぐことができます。
ユーザー認証の方法としては、以下のようなものが挙げられます。
- IDとパスワードの組み合わせ
- 最も一般的なユーザー認証の方法です。IDとパスワードを組み合わせることで、なりすましによる不正アクセスを防ぐことができます。
- 生体認証
- 指紋や顔、虹彩などの生体情報を使用して認証を行う方法です。IDやパスワードを忘れた場合でも、生体認証であれば認証を行うことができます。
- 2要素認証
- IDとパスワードに加えて、SMSやメールによるワンタイムパスワードなどの2番目の要素を用いて認証を行う方法です。2要素認証を導入することで、パスワードの漏洩による不正アクセスを防ぐことができます。
企業や組織は、自社のセキュリティポリシーやシステムの特性に合わせて、適切なユーザー認証の方法を導入する必要があります。
保存データを暗号化する
データを暗号化することで、万が一情報が漏洩した場合でも、内容を解読できなくすることができます。
データの暗号化には、以下の方法が挙げられます。
- ファイル暗号化
- ファイル単位で暗号化を行う方法です。ファイルの暗号化と復号化は、暗号化ソフトを使用して行います。
- ディスク暗号化
- ディスク全体を暗号化を行う方法です。OSの起動時に暗号化を解除する必要があります。
- クラウドストレージの暗号化
- クラウドストレージに保存するデータを暗号化を行う方法です。クラウドストレージの提供元が暗号化を行う場合もあります。
企業や組織は、自社の保有するデータの重要度や利用形態に合わせて、適切なデータ暗号化の方法を導入する必要があります。
個人情報漏洩に対応している、おすすめの調査会社
個人情報が流出していた漏洩していた場合、迅速に「被害範囲」「感染経路」「漏洩した情報の範囲」等のインシデントにかかわる情報を調査する必要があります。
情報漏洩について調査する業者には知識のある担当者が在籍しており、詳しい相談内容を聞いてもらうことができます。
ここでは、実績のあるおすすめの調査会社として「デジタルデータフォレンジック」を紹介します。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万9千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
特長 | ✔官公庁・法人・捜査機関への協力を含む、累計39,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
まとめ
個人情報漏洩の確認方法と、漏洩に向けた様々な対策について紹介してきました。
生活をより豊かに、より便利にするためにインターネットは欠かせない技術になっています。そのために個人情報をインターネット上に保存する必要がありますが、ずさんな管理をしている企業が多いのは確かなようです。まずは信用できる企業にのみ個人情報を預けるようにしましょう。万が一情報漏洩が疑われた場合は、個人で対処する方法の他に、専門の調査会社に相談を検討するのもひとつの方法と言えるでしょう。