データ侵害は、特別な企業だけに起きるものではなくなりました。
顧客情報、従業員情報、ログイン情報、財務資料、営業資料、ソースコード、医療情報、契約書。企業が日々扱う情報の多くは、攻撃者にとって価値があります。
ただし、データ侵害はすべて同じ形で起きるわけではありません。
盗まれたパスワードから始まるものもあれば、フィッシングメール、ランサムウェア、内部関係者、取引先、クラウド設定ミス、物理的な端末紛失から始まるものもあります。
入口が違えば、検知の難しさも、取るべき対策も変わります。だからこそ、まず「どのような種類のデータ侵害があるのか」を整理しておくことが大切です。
TABLE OF CONTENTS
まず押さえたい7種類のデータ侵害
| データ侵害の種類 | 主な入口 | 気づきにくさ | 主な防御策 |
|---|---|---|---|
| 認証情報の窃取 | 盗まれたID・パスワード、使い回し | 非常に高い | MFA、漏えい認証情報の監視 |
| フィッシング・ソーシャルエンジニアリング | 偽メール、偽サイト、電話、なりすまし | 中〜高 | 耐フィッシングMFA、教育、承認フロー |
| ランサムウェア・恐喝 | 初期侵入、横展開、暗号化、データ窃取 | 発動後は気づきやすい | バックアップ、ネットワーク分離、EDR |
| 内部不正・内部起因の漏えい | 正規の従業員・委託先アカウント | 非常に高い | 最小権限、行動監視、アクセスレビュー |
| サプライチェーン侵害 | 取引先、委託先、ソフトウェア、連携サービス | 高い | ベンダー管理、権限制御、委託先監視 |
| クラウド設定ミス | 公開ストレージ、公開DB、過剰権限 | 中程度 | CSPM、設定監査、自動検知 |
| 物理的な侵害 | 盗難端末、紛失USB、無断入室 | 報告後は気づきやすい | 端末暗号化、MDM、入退室管理 |
セキュリティ侵害とデータ侵害の違い
「セキュリティ侵害」と「データ侵害」は似た言葉ですが、意味は少し違います。
セキュリティ侵害は、権限のない人物がシステム、ネットワーク、アカウント、端末へ不正にアクセスした状態を指します。
データ侵害は、その不正アクセスによって、機密情報や個人情報が閲覧、盗難、漏えい、公開された状態を指します。
簡単に言えば、すべてのデータ侵害はセキュリティ侵害を含みますが、すべてのセキュリティ侵害がデータ侵害になるわけではありません。
たとえば、攻撃者がアカウントへログインしたものの、ファイルにアクセスする前に遮断できた場合はセキュリティ侵害です。一方で、顧客情報や社内文書をダウンロードされていれば、データ侵害になります。
この違いは、法務対応、個人情報保護対応、顧客通知、監督官庁への報告、サイバー保険の判断にも関わります。現場では、侵入の有無だけでなく「何のデータに触れられたのか」を早く確認することが重要です。
1. 認証情報の窃取
認証情報の窃取は、現在でも非常に多いデータ侵害の入口です。
攻撃者が正しいIDとパスワードを手に入れると、外から見ると「正規ユーザーのログイン」に見えることがあります。ファイアウォールもアプリケーションも、正しい認証情報で入ってきた利用者として扱ってしまうため、気づきにくいのが厄介です。
認証情報は、次のような経路で盗まれます。
- 個人利用サービスと業務システムでのパスワード使い回し
- インフォスティーラーによるブラウザ保存パスワードの窃取
- フィッシングサイトへの入力
- 過去に漏えいしたデータベースの再利用
- セッションCookieやトークンの窃取
- ダークウェブ上の認証情報マーケットでの売買
Verizonの2025年版DBIRでは、認証情報の悪用が侵害の主要な初期侵入経路の一つとして報告されています。攻撃者は、無理にシステムをこじ開けるのではなく、盗んだ鍵で入ってくることがあります。
なぜ気づきにくいのか
認証情報の窃取が怖いのは、ログイン自体が正常に見えることです。
正しいユーザー名、正しいパスワード、普段使っているクラウドサービス。これだけでは、システム側がすぐに攻撃と判断できない場合があります。
特に、MFAがない環境、海外ログインの制御が弱い環境、ログイン後の行動監視が弱い環境では、侵害に気づくまで時間がかかります。
企業が取るべき対策
- 多要素認証を必須化する
- FIDO2やパスキーなど、耐フィッシング性の高い認証を検討する
- パスワードマネージャーで使い回しを減らす
- 漏えい認証情報を継続的に監視する
- ダークウェブモニタリングを活用する
- 通常と異なるログインを検知する
- 漏えいが確認されたアカウントは即時にリセットする
パスワードだけで守る前提は、かなり厳しくなっています。ID管理は、今のセキュリティ対策の中心に置くべき領域です。
2. フィッシングとソーシャルエンジニアリング
フィッシングは、偽のメール、偽サイト、添付ファイル、電話、チャットなどを使い、従業員をだまして情報を入力させたり、不正な操作をさせたりする攻撃です。
ソーシャルエンジニアリングは、より広い概念です。人の信頼、焦り、権威への弱さ、確認不足を利用して、攻撃者に有利な行動を取らせる手口を指します。
攻撃者にとって、人は今も重要な入口です。高度な脆弱性を使わなくても、従業員がパスワードを入力してしまえば侵入できます。
よくあるフィッシングの形
- 偽のログインページ
- 偽の請求書メール
- Microsoft 365やGoogle Workspaceを装う通知
- 銀行や決済サービスを装うメール
- 人事部門からの連絡に見えるメール
- 取引先からの依頼に見えるメール
- 経営層からの緊急指示に見えるメール
最近のフィッシングは、昔のような不自然な日本語ばかりではありません。AIを使えば、自然な文面、正しい敬語、業務文脈に合った文章を短時間で作れます。
BECはマルウェアを使わないこともある
BEC、つまりビジネスメール詐欺では、攻撃者が経営層、取引先、上司、従業員になりすまし、送金や情報共有を求めます。
目的は、次のようなものです。
- 不正送金をさせる
- 機密情報を送らせる
- 振込先口座を変更させる
- アクセス権限を承認させる
- 悪意あるファイルを開かせる
- パスワードをリセットさせる
BECは、マルウェアを使わない場合もあります。だからこそ、技術的な検知だけでは足りません。業務フロー側で止める仕組みが必要です。
企業が取るべき対策
- 耐フィッシングMFAを導入する
- メールフィルタリングを強化する
- SPF、DKIM、DMARCを整備する
- 送金や口座変更は別経路で確認する
- 重要操作は複数人承認にする
- 従業員教育を定期的に行う
- 類似ドメインや偽サイトを監視する
教育は大切ですが、従業員の注意力だけに頼るのは危険です。人が迷っても止まる仕組みを作ることが重要です。
3. ランサムウェアと恐喝
ランサムウェアは、企業のファイルやシステムを暗号化し、復旧と引き換えに金銭を要求する攻撃です。
ただ、現在のランサムウェアは暗号化だけではありません。
多くの攻撃では、暗号化の前にデータを盗み出します。そのうえで、「支払わなければ公開する」と脅します。これが二重恐喝です。
つまり、バックアップがある企業でも安心とは言い切れません。システムを復旧できても、盗まれた顧客情報や契約書、社内文書の問題は残るからです。
ランサムウェア攻撃の入口
- 盗まれた認証情報
- フィッシングメール
- 未修正の脆弱性
- 弱いリモートアクセス環境
- 侵害されたVPNアカウント
- 悪意あるダウンロード
- 委託先や取引先アカウントの悪用
侵入後、攻撃者は社内ネットワークを探索し、権限を広げ、セキュリティツールを停止し、データを盗み、最後にランサムウェアを展開します。
被害が大きくなる理由
- 業務停止が起きる
- 顧客情報や機密情報が漏えいする
- 復旧費用や調査費用が発生する
- 法務・監督官庁対応が必要になる
- 顧客や取引先への説明が発生する
- ブランド信用が下がる
- サプライチェーン全体に影響が及ぶ
身代金そのものより、復旧、調査、法務対応、顧客通知、業務停止による損失の方が大きくなるケースもあります。
企業が取るべき対策
- オフラインまたはイミュータブルなバックアップを用意する
- バックアップ復旧テストを定期的に行う
- ネットワークを分離する
- EDRやログ監視を導入する
- 重要脆弱性を優先して修正する
- 管理者権限を最小限にする
- インシデント対応計画を作り、訓練する
バックアップは、取っているだけでは不十分です。攻撃者に削除・暗号化されず、実際に戻せる状態でなければ、復旧手段としては弱くなります。
4. 内部不正・内部起因の漏えい
内部不正とは、正規のアクセス権を持つ人物が、意図的または偶発的にデータ侵害を起こすことです。
対象は、従業員だけではありません。委託先、派遣社員、管理者、役員、一時的な作業者、外部ベンダーも含まれます。
内部起因の漏えいには、大きく2種類あります。
| 種類 | 内容 |
|---|---|
| 悪意ある内部者 | 意図的にデータを盗む、持ち出す、破壊する |
| 偶発的な内部者 | 誤送信、設定ミス、確認不足、判断ミスで漏えいさせる |
内部起因の例
- 退職前に顧客データをダウンロードする
- 委託先が機密ファイルをコピーする
- 開発者がAPIキーを公開リポジトリに置いてしまう
- 従業員が顧客情報を誤送信する
- 管理者が認証情報を安全でない方法で共有する
- 必要のないデータに特権ユーザーがアクセスする
なぜ検知しにくいのか
内部不正や内部起因の漏えいが難しいのは、アクセス自体は正規であることが多いからです。
システムから見ると、正しいアカウントを持つ従業員が、許可された場所へアクセスしているように見えます。
問題は、そのアクセスが業務上本当に必要だったのか、通常と違う量のデータを扱っていないか、退職前や異動前などリスクの高いタイミングではないか、という行動の文脈です。
企業が取るべき対策
- 最小権限を徹底する
- 定期的にアクセス権を見直す
- DLPを導入する
- UEBAなどで異常行動を検知する
- 職務分掌を明確にする
- 退職・異動時のアカウント停止を徹底する
- 大量ダウンロードや外部送信を監視する
- 個人メールへの転送を制限する
目的は、従業員を疑うことではありません。不要なアクセスを減らし、異常な行動に早く気づける状態を作ることです。
5. サプライチェーン侵害
サプライチェーン侵害は、取引先、委託先、ソフトウェアベンダー、クラウドサービス、外部連携先などを経由して発生するデータ侵害です。
自社の中から始まるとは限らない点が、非常に厄介です。
信頼しているベンダーが侵害されると、その接続先である多くの顧客企業へ影響が広がる可能性があります。
狙われやすい対象
- ソフトウェアベンダー
- MSPや保守運用事業者
- クラウドサービス
- ファイル転送サービス
- IT委託先
- 決済代行事業者
- 物流事業者
- オープンソースパッケージ
- 業務システム連携
代表的な攻撃方法
- 侵害されたソフトウェア更新を配布する
- ベンダーの認証情報を盗む
- 悪性のオープンソースパッケージを混入する
- API連携を悪用する
- 委託先アカウントの過剰権限を利用する
- MSPの管理権限を悪用する
- 脆弱なファイル転送システムを狙う
サプライチェーン侵害では、自社だけを見ていても気づけないことがあります。委託先アカウント、APIキー、保守用VPN、共有フォルダなど、外部との接続点を管理する必要があります。
企業が取るべき対策
- 委託先にアクセスを与える前にセキュリティを確認する
- ベンダー権限を必要最小限にする
- 委託先アカウントの操作ログを監視する
- ベンダーアクセスにもMFAを必須化する
- 外部連携やAPIを定期的に棚卸しする
- 取引先ドメインの漏えい認証情報を監視する
- ベンダー起因のインシデント対応計画を用意する
すべてのベンダーのセキュリティを完全に管理することはできません。ただし、自社環境へどこまでアクセスできるか、異常にどれだけ早く気づけるかは設計できます。
6. クラウド設定ミス
クラウド設定ミスは、クラウドサービスの設定不備によって、本来公開してはいけないデータが外部から見える状態になることです。
他の侵害と違い、必ずしも攻撃者が侵入しているとは限りません。設定ミスによって、最初から外部に開いてしまっていることがあります。
よくある設定ミス
- 公開状態のクラウドストレージ
- 外部からアクセス可能なデータベース
- 初期パスワードやデフォルト認証情報
- 過剰な権限を持つIAMポリシー
- 認証なしで呼び出せるAPI
- ファイアウォールやセキュリティグループの設定不備
- 公開されたスナップショット
- 弱いIDポリシー
なぜ起きるのか
クラウド環境は変化が速く、設定項目も多いです。
開発者や管理者が素早く環境を作る一方で、権限や公開設定の確認が後回しになることがあります。検証用に一時的に公開した設定が、そのまま残るケースもあります。
攻撃者側は、自動スキャナーで公開ストレージや公開DBを探します。小さな設定ミスでも、短時間で見つけられる可能性があります。
企業が取るべき対策
- CSPMを活用する
- クラウド設定を自動監査する
- Infrastructure as Codeをスキャンする
- デフォルト拒否を基本にする
- 強いID管理を行う
- 保存データを暗号化する
- 継続的なコンプライアンス監視を行う
- 公開設定が発生したらアラートを出す
- クラウド権限を定期的に見直す
クラウドセキュリティは、一度設定して終わりではありません。環境が変わるたびに、設定も変わります。継続的な確認が必要です。
7. 物理的な侵害
物理的な侵害は、端末、サーバー、紙の資料、USBメモリ、施設などに、権限のない人物が物理的にアクセスすることで起きるデータ侵害です。
少し古い話に聞こえるかもしれませんが、今でも十分に現実的なリスクです。
盗まれたノートPC、紛失したスマートフォン、暗号化されていないUSBメモリ、施錠されていない執務スペース、返却されない業務端末。こうしたものから情報漏えいにつながることがあります。
物理的な侵害の例
- ノートPCの盗難
- スマートフォンの紛失
- 暗号化されていないUSBメモリの紛失
- サーバールームへの無断入室
- 紙の機密文書の放置
- 車内に置いた端末の盗難
- 退職者から端末が返却されない
- 古い端末の不適切な廃棄
企業が取るべき対策
- 端末のフルディスク暗号化を行う
- 強い画面ロックを設定する
- MDMで端末を管理する
- リモートワイプを可能にする
- 端末の保管ルールを定める
- 入退室管理を行う
- 来訪者記録を残す
- サーバールームへのアクセスを制限する
- 退職・異動時の返却手順を徹底する
- 古い端末を安全に廃棄する
端末が盗まれても、適切に暗号化されていれば、データ自体を守れる可能性があります。物理的な紛失や盗難に備えるうえで、暗号化は非常に重要です。
どの種類のデータ侵害が起きたのかを見極める
インシデント対応では、最初にどのタイプの侵害なのかを見極めることが重要です。
入口が分からなければ、同じ被害を繰り返す可能性があります。
| 見えている兆候 | 考えられる侵害タイプ |
|---|---|
| 正規アカウントで不審なログインがある | 認証情報の窃取 |
| 従業員が偽リンクをクリックした | フィッシング |
| ファイルが暗号化され、身代金要求文が出た | ランサムウェア |
| 正規従業員が通常と違う大量データにアクセスした | 内部不正・内部起因 |
| 委託先アカウントや外部連携経由の不審操作がある | サプライチェーン侵害 |
| クラウド上のデータが公開状態だった | クラウド設定ミス |
| 端末やUSBメモリが盗難・紛失した | 物理的な侵害 |
実際のインシデントでは、複数のタイプが重なることもあります。
フィッシングから認証情報が盗まれ、その認証情報で侵入され、ランサムウェアにつながる。委託先アカウントが侵害され、そこからクラウドデータにアクセスされる。こうした連鎖は珍しくありません。
再発防止のためには、最終的に何が起きたかだけでなく、最初の入口を特定することが重要です。
7種類すべてに共通する防御策
一つのツールですべてのデータ侵害を止めることはできません。
必要なのは、複数の対策を組み合わせることです。
- 多要素認証
- 耐フィッシング認証
- 漏えい認証情報の監視
- ダークウェブモニタリング
- オフラインまたはイミュータブルなバックアップ
- 最小権限
- ネットワーク分離
- ベンダーリスク管理
- クラウド設定監査
- DLP
- 端末暗号化
- 従業員教育
- インシデント対応計画
特に、認証情報は多くの侵害タイプに共通します。
フィッシングは認証情報を盗みます。インフォスティーラーも認証情報を狙います。委託先が認証情報を漏らすこともあります。内部不正では正規アカウントが悪用されます。ランサムウェアも、最初は盗まれた認証情報から始まることがあります。
その意味で、MFA、認証情報監視、アクセス制御は、現代のデータ侵害対策の土台です。
データ侵害は、入口を知るほど防ぎやすくなる
データ侵害は、どれも同じように見えるかもしれません。
しかし、実際には入口も、見つけ方も、止め方も違います。
盗まれたパスワードから始まる侵害。フィッシングで人をだます侵害。ランサムウェアで業務を止める侵害。内部関係者による漏えい。取引先やソフトウェアを経由する侵害。クラウド設定ミスによる公開。盗難端末からの漏えい。
どれも、企業にとって現実的なリスクです。
ただ、種類を理解していれば、対策は立てやすくなります。自社でどの入口が弱いのか。どのデータが狙われやすいのか。どの部署が対応すべきなのか。どのログを確認すべきなのか。
そこを整理するだけでも、インシデント時の動きはかなり変わります。
セキュリティは、一つの攻撃だけを止めるものではありません。攻撃者がデータへたどり着く道を、できるだけ減らしていく取り組みです。
まずは、自社にとって最も起こりやすいデータ侵害のタイプを一度洗い出してみる。そこから、ID、バックアップ、権限、取引先、クラウド設定、端末管理を見直していくのが現実的です。
投稿者プロフィール
-
Offensive Security Engineer
15年以上の実績を持つ国際的なホワイトハッカーで、日本を拠点に活動しています。「レッドチーム」分野に精通し、脆弱性診断や模擬攻撃の設計を多数手がけてきました。現在はCyberCrewの主要メンバーとして、サイバー攻撃の対応やセキュリティ教育を通じ、企業の安全なIT環境構築を支援しています。
主な保有資格:
● Certified Red Team Specialist(CyberWarFare Labs / EC-Council)
● CEH Master(EC-Council)
● OffSec Penetration Tester(Offensive Security)
