最近発生したデータ侵害により、世界中の数十億人の社会保障番号を含む機密情報が漏洩し、個人情報窃盗やサイバー犯罪の大幅な増加につながる可能性があります。この件について知っておくべきこと、そして対処法をご紹介します。
米国国防総省のハッキンググループは、身元調査用の個人情報を提供するデータブローカーであるNational Public Data(NPD)に侵入しました。これは通常のデータ侵害とは異なります。
27億件以上の記録が盗まれ、その情報量は前例のないほど膨大です。
この侵害により、以下の記録を含む 27 億件の記録が漏洩しました。
- 名前
- 住所
- 生年月日
- 社会保障番号
- 電話番号
PIRG の消費者ウォッチドッグディレクターのテレサ・マレー氏は、データの量と機密性を考えると、今回の侵害は以前の事件よりも懸念されると述べています。
「もしこれが私たち全員に関するほぼ全ての情報だとしたら、(過去の情報漏洩よりも)はるかに憂慮すべき事態であることは間違いありません」とマレー氏はロサンゼルス・タイムズ紙に説明した。「もし人々がこれまで予防措置を講じていなかったとしたら、それは当然のことだったはずです。今回の件は彼らにとって、五つの警鐘となるはずです。」
漏洩の深刻さにもかかわらず、ナショナル・パブリック・データ社は影響を受けた個人に対し、いまだ正式な通知を出していない。同社は、データベースから個人情報の全エントリを削除し、非公開の個人情報を削除することを選択したと主張している。
しかし、この措置が侵害がもたらすリスクを軽減するのに十分かどうかは不明です。
リスクと影響
漏洩した情報はサイバー犯罪者にとって金鉱であり、個人情報窃盗に必要なほぼすべてのデータを提供します。社会保障番号、生年月日、住所などを入手すれば、犯罪者は不正なアカウントを作成したり、ローンを申請したり、既存のアカウントを操作したりすることが可能になります。
この侵害には電子メールアドレスや運転免許証の写真が含まれていないが、過去の侵害の情報で不足しているデータを補うことができる。
このような侵害による影響は壊滅的なものとなり得ます。個人情報の盗難は、多大な経済的損失、信用スコアの低下、そして被害者にとって長期にわたる回復プロセスにつながる可能性があります。
さらに、このデータを容易に武器化できることから、セキュリティ対策の強化が急務となっていることが浮き彫りになっています。
例えば、漏洩したデータに関連する具体的な脅威として、SIMスワップ攻撃のリスクが挙げられます。SIMスワップ攻撃では、サイバー犯罪者は盗んだ個人情報を利用して、携帯電話会社に電話番号を新しいSIMカードに転送するよう仕向けます。
電話番号が入手されれば、SMSベースの2段階認証コードを傍受し、アカウントにアクセスできます。今回の侵害で漏洩した個人情報の詳細を考慮すると、このような攻撃の可能性は大幅に高まります。
自分を守るための緊急措置
SIM スワップ攻撃から身を守るには、携帯電話会社で PIN またはパスコードを設定し、突然のサービス停止などの異常なアクティビティに注意する必要があります。
次に、米国の三大信用調査機関で信用凍結を設定することで、犯罪者があなたの名前で新規口座を開設するのを防ぎます。これは無料で、あなたの信用情報へのアクセスを制限します。
iPhoneで使えるセキュリティキー
アカウントの監視も重要です。個人情報盗難防止サービスは、アカウントを監視し、ダークウェブをスキャンして個人情報の漏洩を検知します。これらのサービスは多くの場合有料ですが、データ侵害を経験した企業の中には、被害を受けた顧客に無料で提供するところもあります。
パスワードはユニークで強力なものにしましょう。パスワードマネージャーの利用も検討しましょう。認証アプリやハードウェアセキュリティキーのコードを使った2要素認証(2FA)を有効にしましょう。このようなコードがあれば、たとえパスワードと偽造SIMカードを持っていたとしても、攻撃者がiCloudアカウントに侵入することはほぼ不可能になります。
セキュリティキーは、パソコンに挿入したりスマートフォンに接続したりする物理デバイスです。SMSやアプリで送信されるコードとは異なり、セキュリティキーは登録済みのウェブサイトでのみ機能するため、フィッシング攻撃の影響を受けません。
セキュリティキーが特に効果的なのは、フィッシング攻撃に対する耐性です。SMSコードなどの従来の2要素認証方法は、SIMスワップ攻撃のように、正規のサービスを装った攻撃者によって傍受される可能性があります。
しかし、セキュリティキーは異なります。セキュリティキーは登録した特定のウェブサイトに紐付けられているため、正規のウェブサイトを模倣した詐欺サイトでは機能しません。
たとえハッカーがパスワードを盗んだとしても、物理的なキーがなければアカウントにアクセスすることはできません。
クレジットの凍結、強力なパスワード、二要素認証、セキュリティ キーの使用などの対策を実施することで、被害に遭うリスクを大幅に減らすことができます。
常に警戒を怠らず、セキュリティ対策を最新の状態に保ちましょう。そして、デジタル世界において最善の防御策は、常に潜在的な攻撃者の一歩先を行くことだということを忘れないでください。今日からこれらの予防策を講じることで、将来の潜在的な問題や経済的損失を防ぐことができます。
