個人情報を売買する違法サイトから情報が流出
2021年3月、個人情報を違法サイトで購入したおよそ2万4000人の個人情報が、逆に流出してしまったという事件が報じられた。(Hacker on hacker crime: personal information of 24,000 illegal data buyers leaked online | CyberNews)
なぜそのような事態になったのか。あるハッカーフォーラムのユーザーが、現在は廃止されている「WeLeakInfo」の機密情報を含むデータベースを販売したためだ。
WeLeakInfoは、データ侵害により収集された個人情報を販売していた違法サイト。およそ150億件もの個人情報を販売したとされている。2020年1月にはアメリカ司法省が運営者を逮捕している。
WeLeakInfoのドメインは当局に押収されたのだが、押収期間中の2021年3月に、ドメインが失効。これに気づいたあるハッカーがドメインを登録し直し、WeLeakInfoの運営者に関連付けられた決済システムのパスワードをリセット。そこから、その決済システムを利用したユーザーのデータにアクセスが可能になったという。
そのデータには氏名やメールアドレスのほか、クレジットカード情報やIPアドレスなども含まれていたとのこと。この件で漏洩した個人情報はおよそ2万4000人分にのぼるとされている。
もちろん、この事件の教訓があるとするなら、「違法なサイトを利用してはならない」なのだが、有効期限が切れたドメインが放置されている場合、そのドメインと結び付いていたアカウントにアクセスされる可能性がある、というのは意識したほうがよい。
また、違法なサイトを利用しないことは当然だが、さまざまなオンラインサービスを活用することが当たり前になった現在では、やはり個人情報の漏洩が気になるという人もいるかもしれない。WeLeakInfoの事件の場合は自業自得といえるかもしれないが、個人情報の流出の報道が世間をにぎわせるたびに、「自分は大丈夫だろうか」と不安になることもあるだろう。
個人情報の漏洩にいち早く気づくために
企業や組織からデータが流出する事件は、内部で働いている人のミスや、設定の不具合などから流出してしまったというパターンが多い。そのため、利用する側からすると防ぎようがないと思うかもしれないが、日頃から気をつけておくことで、万が一の場合に被害を最小限に食い止める方法はある。
まず、自分のオンラインアカウントを、日頃から注意深くチェックしておこう。不審な履歴を見つけた場合は、プライバシー設定を更新したり、パスワードを変更したりといった措置を講じたい。
SNSを利用する際に、設定が維持されているかどうかチェックしてみてほしい。たとえば、投稿の公開範囲の設定。投稿を誰にでも見られるようにしておかない、友人しか見られないように設定を変えておく、変更がないかどうかチェックする、といった点に注意しておけば、異変が起きたときに気づきやすい。
控えたいのは、パスワードの使い回しだ。パスワードが流出してしまった場合、ほかのサービスでも同じものを使い回していると、それらに不正アクセスされてしまう可能性があるからだ。
ログインの際に、パスワードだけでなく電話番号(SMS)などによる本人確認が必要になる「2段階認証」(ログイン認証)も、可能なら設定しておきたい。携帯電話へSMSで1回限りの有効なパスワードや数字が送られてくる携帯電話認証のもの、アプリやデバイスなどで表示されるパスワードを入力するワンタイムパスワード認証などがある。パスワードが知られたとしても、もう一段階の認証なしではログインできなくなるため、より強固なセキュリティとなる。
なお、WeLeakInfoでも悪用されたパターンだが、サイバー犯罪者は違法行為で入手したメールアドレスのリストを、フィッシングメール配信などに利用することがある。そのため、メールやSMSが届いても、不自然な文面ではないか、身に覚えのないメッセージではないかをよく確認しよう。不審なURLはみだりに開かないようにしたい。
今回は、McAfee Blogの「データ漏えいの疑い?あなたが取るべき6つのセキュリティステップ」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
データ漏えいの疑い?あなたが取るべき6つのセキュリティステップ:McAfee Blog
私たちは、お気に入りのレストランでのテイクアウトの支払い、ホテルへのチェックイン、地元のコーヒーショップの特典の受け取りなど、さまざまな場面で個人情報を企業と共有しています。クレジットカードを使用すると便利ですが、実際には私たちが認識しているよりも多くの個人データが提供されます。
目次
ShinyHuntersによる情報漏洩
ワシントン州監査局の被害
DriveSureへの不正アクセス
データ漏えいを考慮した安全性の維持
1.銀行口座を監視
2.詐欺の疑いについて警告
3.クレジットを凍結
4.パスワードを更新
5.個人情報の盗難防止の使用を検討
6.セキュリティソリューションを確認
最新情報を入手
ShinyHuntersによる情報漏洩
先日ハッカーのShinyHuntersが、Pixlr.com、Bonobos.com、MeetMindful.comなどの企業から情報を漏らしました。ShinyHuntersは最近、HomeChef、オンラインマーケットプレイスMinted、ゲームサイトAnimal Jam、クーポンサイトShopbackからリークされたデータベースの背後にある犯人として特定されました。
ワシントン州監査局の被害
徘徊しているハッカーはShinyHuntersだけではありません。ハッカーは最近、ワシントン州監査局(SAO)も標的にしました。Security Weekによると、ハッカーはSAOのファイル共有サービスであるAccellionのセキュリティ上の欠陥を悪用し、制限されたファイルにアクセスするようになりました。この事件では、銀行口座番号、銀行コード、社会保障番号、運転免許証/州の識別番号、勤務先などの機密データが公開されました。雇用安全局(ESD)が 事件について警告を発しした際、100万人以上の個人が影響を受けた可能性があることを明らかにしました。
DriveSureへの不正アクセス
イリノイ州に本拠を置く自動車ディーラーサービスプロバイダーであるDriveSureは、2020年12月下旬にハッキングフォーラムで320万人のユーザー情報が公開され、データ侵害の被害を受けていることに気づきました。情報には、名前、住所、電話番号、電子メールアドレス、IPアドレス、車のメーカーとモデル、VIN番号、自動車サービスの記録とディーラーの記録、損害賠償請求、および93,063のハッシュされたパスワードが含まれていました。このタイプのデータを使用すると、他のハッカーが保険会社や保険契約者を標的にしたり、銀行口座、個人の電子メールアカウント、企業システムなどの他の貴重なプラットフォームに侵入したりする恐れがあります。
データ漏えいを考慮した安全性の維持
企業がデータ侵害を経験した場合、顧客はこれがオンラインの安全性に影響を与える可能性があることを認識する必要があります。お気に入りのカフェの顧客データベースが漏洩した場合でも、個人情報や財務情報が漏洩する可能性があります。しかし、これはあなたのオンラインの安全性が運命づけられているという意味ではありません。違反の影響を受けたと思われる場合は、潜在的な副作用から身を守るために実行できる複数の手順があります。
最近のデータ侵害の影響を受けた可能性があると思われる場合、または被害の影響をなるべく抑えるために予防策を講じたい場合は、次のヒントを確認してください。
1.銀行口座を監視
誰かがあなたのクレジットカード情報を不正に使用しているかどうかを判断する最も効果的な方法の1つは、銀行の明細書を監視することです。自分が行っていない請求を見つけた場合は、できるだけ早く報告してください。
2.詐欺の疑いについて警告
データが危険にさらされている疑いがある場合は、クレジットに詐欺の疑いがあることを伝えましょう。これにより、新規または最近のリクエストが精査されるだけでなく、信用報告書のコピーを追加して、疑わしいアクティビティをチェックできるようになります。
3.クレジットを凍結
クレジットを凍結すると、犯罪者があなたの名前でローンを組んだり、新しいアカウントを開設したりすることができなくなります。これを効果的に行うには、3つの主要な信用調査機関(Equifax、TransUnion、およびExperian)のそれぞれでクレジットを凍結する必要があります。
4.パスワードを更新
パスワードが強力で一意であることを確認してください。多くのユーザーは、すべてのアカウントで同じパスワードまたはそのバリエーションを使用しています。したがって、1つのパスワードが危険にさらされた場合に、ハッカーが一度にすべてのアカウントにアクセスできないように、パスコードを多様化するようにしてください。パスワードマネージャーを使用して、資格情報を追跡することもできます。
5.個人情報の盗難防止の使用を検討
McAfee Identification Theft Protection (米国向け)のようなソリューションは 、アカウントを監視し、疑わしいアクティビティを警告するのに役立ちます。
6.セキュリティソリューションを確認
クレジットカードをオンラインで安全に使用して購入するには、VPNとパスワードマネージャーをご利用のセキュリティソリューションに追加しましょう。VPNはショッピング体験をプライベートに保ち、パスワードマネージャーはすべてのオンラインアカウントを追跡して保護するのに役立ちます。セキュリティソフトウェアを煩わしいと感じるかもしれませんが、個人情報やひいては家族の安全までも影響を及ぼす可能性があり、対策が必要です。なおMcAfee Total Protectionにはいずれも含まれています。
最新情報を入手
常にお伝えしていることですが、日々のニュースからの情報収集は重要です。またデジタルの安全性を維持するための情報やマカフィー製品に関する最新情報、および最新の消費者向けおよびモバイルセキュリティの脅威に関する最新情報を入手するには、Twitterで@McAfee_Home(US)または@McAfee_JP_Sec(日本)をフォローし、ポッドキャストHackableをお聞きください。
※本ページの内容は2021年2月4日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Affected by a Data Breach? Here Are Five Security Steps You Should Take
著者:Pravat Lall
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
