企業はダークウェブを監視し、データプライバシーを確保する必要がある

コメントする / セキュリティ / By

企業はダークウェブを監視し、データプライバシーを確保する必要がある

パスポート、PANカード、アーダーカードなどのスキャンコピーがインターネット上で公開されているのを発見したときのことを想像してください。これらの書類を写真で少し編集するだけで、クレジットカードやBNPL(buy-now-pay-later)ローン、PayPalアカウントなどを申し込む人がいたらどうでしょう?

個人はデータのプライバシーと保護について懸念していますが、どのようにすればオンラインで自分の情報を保護できるのでしょうか?インターネット利用の増加に伴い、オンラインデータは過去10年間で飛躍的に増加し、Statista.comによると、2020年には約64.2ゼタバイトに達すると言われています。一方、ダークウェブは、通常のウェブブラウザではアクセスできないが、専用のソフトウェアや設定、認証があればアクセスできる可能性のある、隠れたウェブサイトの集合体である。

サイバー攻撃が日々規模を拡大し複雑化する中、個人を特定できる情報(PII)を含む漏洩データは、ほとんどの場合、脅威行為者によってダークウェブ上で販売または競売される可能性があります。ダークウェブ、およびディープウェブや隠されたインターネットは、ユーザーに匿名性と秘密性を提供するため、犯罪者にとって人気のある目的地となっています。

ダークウェブのデータには、政府のデータベース、民間企業、個人からのPIIが含まれることがあります。ダークウェブでよく売られているものには、クレジットカード情報などの金融情報、パスポートのスキャンや社会保障番号などのID情報、銀行やメールアカウントなど多くのオンラインアカウントのログイン情報、サイバーセキュリティに脅威を与えるマルウェアなどがあります。

ランサムウェア攻撃やデータ漏洩の影響を受けた企業は、ビジネスに影響を与える可能性のある機密情報が販売されていないか、ダークウェブを監視する必要があります。しかし、ダークウェブの監視は、クローズドフォーラムやメッセージングアプリなどのマーケットプレイスとともに、多くのソースが関与するため、困難です。このような監視手法では、さまざまなツールやデータフィードを使用して継続的に検索を行い、何千ものソースを網羅する生の情報をほぼリアルタイムで収集します。

定期的なモニタリングと脆弱性評価により、重要な情報(IPアドレス、DNS、ITアーキテクチャ、機密性の高いビジネスデータ、連絡先の詳細など)が公開されているかどうかを確認し、サイバー攻撃の実施に活用することができる。しかし、ダークウェブに関しては、サイトやデータがインデックス化されておらず、一般的な検索エンジンやクローラーでは発見できないため、必要なスキル、正確なツール、理解を持つ専門家が、流出したデータの有無を確認する必要があります。

多くの企業が顧客データを扱っているため、ダークウェブ監視は、法的紛争、ブランド毀損、金銭的罰金、規制上の罰則、そして最も重要なのは、データがダークウェブ上で利用可能であることが判明した場合の将来の攻撃といったリスクを回避するための準備と迅速な対応を支援するものです。

ダークウェブでは、氏名、電話番号、連絡先などの個人情報、認証情報、社会保障番号やAADHARなどの識別番号が、ビジネスデータに加えてオープンに公開されています。そのため、個人情報の盗難やオンライン金融詐欺のリスクが大きくなっています。自動販売機(AVC)などのプラットフォームは、クレジットカードや認証情報、アクセス権の取引に使用されています。個人情報は「ターゲティング広告」や「行動ターゲティング広告」に頻繁に利用され、アドブローカーはウェブサイトやアプリを訪れた人に最も適した広告を配信し、クリックスルー率を高めようとします。

NISTのプライバシーフレームワークによると、データプライバシーリスクが管理・対処されない場合、個人と社会の両方のレベルで悪影響が発生し、組織のブランド、利益、成長に悪影響が及ぶ可能性があります。

個人情報だけでなく、組織のデータも危険にさらされています。従業員は、複数の企業や個人のアカウントで同じパスワードを頻繁に使用するため、脅威者が簡単にアクセスすることができます。脅威者は、一度アクセスすると、そのパスワードを利用して、ビジネスメールの漏洩や金融詐欺など、さまざまなインターネット詐欺を行うことができます。クレデンシャルはダークウェブで頻繁に販売されています。多くのパスワードを覚えたり、どこかに書き留めたり、ブラウザのデフォルトストレージに認証情報を保存したりするよりも、強力でよく知られたパスワードマネージャーを使用する方が常に良いのです。

マルウェア対策ソフトやパッチを常に最新の状態に保ち、多要素認証を使用し、定期的にデータをバックアップし、サイバー衛生状態を良好に保つ。強固なパスワードを定期的に変更し、情報漏えいの知らせを受けたらできるだけ早く変更することは、サイバーセキュリティ侵害を防ぐのに役立ちます。

個人は、https://haveibeenpwned.com/ や https://mypwd.io/ などのウェブサイトで、自分のパスワードやアカウントが情報漏えいしたことがあるかどうかを確認することができます。

BYODの増加やリモートワークの導入に伴い、サイバーセキュリティポリシーが企業ネットワーク上のデバイスだけでなく、すべてのデバイスに適用されるようにすることがこれまで以上に重要となっています。ゼロトラスト・ネットワークの導入は、サイバーセキュリティ・アーキテクチャーの設計に不可欠な部分ですが、従業員のセキュリティ知識も重要です。データセットを分類し、タグ付けし、ラベル付けするためのデータプライバシーとガバナンスのフレームワークを設計し、実装することは、機密データや個人データを特定し、データフィールドを隠蔽/マスク、匿名化、難読化するための手順を導入するために重要です。

データ・プライバシーの基準が世界中で厳しくなり、罰金や情報開示が義務付けられる中、ダークウェブの監視を積極的に行い、罰金やデータ漏洩を回避するためのコンサルタントを雇うことは良いアイデアです。

データのプライバシーは深刻な問題であり、特にデータそのものがそのデータの持ち主に危害を加える可能性がある場合はなおさらである。組織は、インフラを保護し、現地の法律だけでなく国際的な義務にも準拠するための枠組みを用意する必要があります。

ダークウェブは広範囲に広がり、拡大していますが、データ侵害で個人情報が漏洩していないかどうかを確認する方法があります。

参考:テックサークル

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

お買い物カゴ