データ抽出とは
IBMニュースレターの購読 IBM Security QRadarの詳細はこちら
IBM Securityを使うオフィス従業員を示すアイソメトリック画像

データ抽出(データの抜き取りまたはデータ・エクスポートとも呼ばれる)は、データの盗難です。つまり、パソコンまたは他のデバイスからのデータの意図的、無許可、隠れて転送することです。データ抽出は、手動で行われることもあれば、 マルウェアを使って自動化されることもある。

平均的なユーザーから大手企業や政府機関に至るまで、データ抽出攻撃は最も破壊的で被害の大きいサイバーセキュリティー脅威のひとつです。データ抽出を防止し、企業データを保護することは、次のような点で非常に重要です。

  • 事業継続性の維持:データが流出すると、オペレーションの停止、顧客の信頼損失、経済的損失につながる可能性があります。
     

  • 規制の遵守:多くの業界には、データのプライバシーと保護に関して特定の規制があります。データ抽出は多くの場合、これらの規制の不遵守に起因するか、その不遵守が露呈し、厳しい罰則や永続的な風評被害につながる可能性があります。
     

  • 知的財産の保護:データ抽出により、企業秘密、研究開発、および組織の収益性と競争上の優位性に不可欠なその他の専有情報が侵害される可能性があります。

サイバー犯罪者にとって、機密データは非常に貴重な標的となっています。盗まれた顧客データ、個人情報(PII)、社会保障番号、その他あらゆる種類の機密情報は、ブラック・マーケットで売られたり、さらなる サイバー攻撃に使われたり、 ランサムウェア 攻撃の一部として法外な料金との交換条件として使われたりするおそれがあります。
データ抽出 vs データ漏洩 vs データ侵害

データ漏洩、データ侵害 、データ抽出は、同じ意味で使用されることがよくありますが、異なる概念です。

データ漏洩とは、機密データが誤って 漏洩すること です。データ漏洩は、技術的なセキュリティの脆弱性または手順上のセキュリティー・エラーが原因で発生する可能性があります。

データ侵害とは、機密情報や機密情報への 不正アクセス を引き起こすセキュリティー・インシデントのことです。機密データにアクセスすべきではない人が、機密データにアクセスしてしまいます。

データ抽出は、 データを盗む個別の行為です。すべてのデータ抽出にはデータ漏洩やデータ侵害が必要条件です。ただし、そのすべてがデータ抽出につながるわけではありません。脅威行為者は、ランサムウェア攻撃の一環としてデータを暗号化したり、重役のメールアカウントを乗っ取るためにデータを使用したりすることがあります。データが攻撃者の制御下にある他のストレージ・デバイスにコピーまたは移動されるまでは、データ抽出にはなりません。

区別は重要です。Google で「データ抽出コスト」を検索すると、データ侵害のコストに関する情報がたくさん見つかります。これは主に、データ抽出に直接起因するコストについて入手できるデータがほとんどないためです。しかし、多くのデータ抽出にかかるコスト計算には、流出したデータの売却や公開を防止するための身代金の支払いにかかる多額の費用や、抽出されたデータによって可能になる事後攻撃のコストなど、特に流出に関連するコストは含まれていません。
データ抽出の方法

ほとんどの場合、データ抽出は次の方法で行われます。

  • 外部の攻撃者 ー ハッカー、サイバー犯罪者、外国の敵対者、またはその他の悪意のある行為者です。
     

  • 不注意な内部脅威 ー 従業員、ビジネス・パートナー、その他権限を与えられたユーザーが、ヒューマン・エラー、判断ミス( フィッシング 詐欺に引っかかるなど)、セキュリティー管理、ポリシー、最良実施例の不知(機密データをサム・ドライブ、ポータブル・ハード・ドライブ、その他安全でないデバイスに転送するなど)により、不注意にデータを暴露することです。

まれに、悪意のある内部関係者の脅威、つまり不満を抱いた従業員など、ネットワークへのアクセスを許可された悪意のある者が原因である場合もあります。
一般的なデータ抽出手法と攻撃ベクトル

外部の攻撃者や悪意のある内部関係者は、不注意または十分な訓練を受けていない内部関係者、および技術的なセキュリティーの脆弱性を悪用して、機密データにアクセスして盗みます。
フィッシングやその他のソーシャル・エンジニアリング攻撃

ソーシャル・エンジニアリング 攻撃は、人間の心理を悪用し、個人を操作したり騙したりして、自分自身や組織のセキュリティーを危険にさらす行動を取らせる行為です。

最も一般的なソーシャル・エンジニアリング攻撃はフィッシングで、信頼できる送信者になりすまし、ユーザーにマルウェア(ランサムウェアなど)のダウンロード、悪意のあるウェブサイトへのリンクのクリック、個人情報(ログイン情報など)の提供、場合によっては攻撃者が流出させたいデータの直接引き渡しなどをさせるメール、テキスト、音声メッセージの使用です。

フィッシング攻撃には、信頼できるブランドや組織から発信されたように見せかける非個人的なバルクフィッシングメッセージから、親しい同僚や権威ある人物から発信されたように見せかけるメッセージで特定の個人を狙う高度に個人化された スピアー・フィッシングホエール・フィッシングビジネスメール侵害(BEC) 攻撃まで、さまざまなものがあります。

しかし、ソーシャル・エンジニアリングはそれほど技術的ではありません。ベイティングと呼ばれるソーシャル・エンジニアリング手法の 1 つは、マルウェアに感染したサムドライブをユーザーが手に取る場所に放置するという単純なものです。テールゲーティングと呼ばれるもう 1 つの手法は、権限を持つユーザーの後をつけて、データが保存されている部屋に入るのと同じくらい簡単です
脆弱性の悪用

脆弱性の悪用は、システムやデバイスのハードウェア、ソフトウェア、ファームウェアのセキュリティー上の欠陥や脆弱性を利用します。ゼロデイ攻撃は、ハッカーがソフトウェアやデバイスのベンダーに知られる前に、あるいは修正される前に発見したセキュリティ0上の欠陥を利用する。DNSトンネリング ドメイン・ネーム・サービス(DNS)リクエストを使用してファイアウォールを回避し、機密情報を抜き出すための仮想トンネルを作成します。
データ抽出のコスト

個人の場合、抽出によってデータが盗まれると、個人情報の盗難、クレジットカードや銀行のブラックメール、恐喝や恐喝などの高額な結果が生じる可能性があります。組織、特に医療や金融などの規制の厳しい業界の組織にとって、その結果は桁違いにコストがかかります。そのコストには以下が含まれます。

  • ビジネス・クリティカルなデータの喪失による業務の中断:
     

  • 顧客の信頼またはビジネスの喪失:
     

  • 製品の開発/発明、独自のアプリケーション・コードや製造プロセスなどの貴重な企業秘密の漏洩:
     

  • お客様の機密データを扱う際に、厳格なデータ保護とプライバシーのプロトコルと予防措置を遵守することが法律で義務付けられている組織に対する厳しい罰金、料金、その他の制裁:
     

  • 盗み出されたデータによって可能となる事後攻撃:

データ抽出に直接起因するコストに関するレポートや調査を見つけるのは困難ですが、データ抽出の発生率は急速に増加しています。今日、ほとんどのランサムウェア攻撃は、サイバー犯罪者が被害者のデータを暗号 化して 流出させた後、(被害者が業務を再開できるように)データのロックを解除するための身代金と、第三者へのデータの売却や公開を防ぐための身代金を要求するという、二重の恐喝攻撃となっています。

2020 年、サイバー犯罪者は Microsoft社と Facebook社で数億件の顧客記録を流出させました。2022 年、Lapsus$というハッキング・グループはチップメーカーのNvidia社から 1 テラバイトの機密データを抜き取り、同社の深層学習テクノロジーのソース・コードを漏洩しました。ハッカーがお金を追いかけるなら、データ窃取でのお金は良いものになり、さらに良くなるはずです。
データ漏洩の防止

組織は、ベスト・プラクティスとセキュリティー・ソリューションを組み合わせてデータ抽出を防止します。

セキュリティー意識向上トレーニングーフィッシングは一般的なデータ引き出しの攻撃ベクトルであるため、フィッシング詐欺を認識できるようにユーザーをトレーニングすることは、ハッカーによるデータ抽出の試みをブロックするのに役立ちます。リモートワーク、パスワードの衛生管理、職場での個人用デバイスの使用、会社データの処理/転送/保存に関するベスト・プラクティスをユーザーに教育することは、組織がデータ漏洩のリスクを軽減するのに役立ちます。

ID管理とアクセス管理(IAM))ーIAM システムを使用すると、企業はネットワーク上の各ユーザーに単一のデジタル ID と単一セットのアクセス権限を割り当てて管理できるようになります。ハッカーなどの無許可ユーザーの侵入を防ぎながら、許可されたユーザーのアクセスを効率化することができます。IAM は次のようなテクノロジーを組み合わせることができます。

  • 多要素認証-ユーザー名とパスワードに加えて1つ以上のログオン認証情報を必要とします)
     

  • 役割ベースのアクセス制御(RBAC)ー 組織内のユーザーの役割に基づいたアクセス許可
     

  • 適応型認証 ー コンテキストが変化した場合(デバイスを切り替えたり、特に機密性の高いアプリケーションやデータにアクセスしようとしたりする場合など)、ユーザーに再認証を要求します。
     

  • シングルサインオン ー 単一のログイン認証情報を使用してセッションに一度だけログインし、そのセッション中に再ログインすることなく複数の関連するオンプレミスまたはクラウドサービスにアクセスできるようにする認証スキームです。

データ損失防止(DLP) ーDLP ソリューションは、保管中(ストレージ内)、移動中(ネットワークを介して移動中)、使用中(処理中)のあらゆる状態の機密データを監視および検査し、漏洩の兆候がないか検査し、その兆候が検出された場合は漏洩をブロックします。たとえば、DLP技術は、データが未承認のクラウド・ストレージ・サービスにコピーされたり、未承認のアプリケーション(ユーザーが Web からダウンロードしたアプリなど)によって処理されたりするのをブロックできます。

脅威の検知と対応技術ーサイバーセキュリティー技術の種類は増え続けています。企業のネットワーク・トラフィックとユーザー・アクティビティーを継続的に監視および分析することで、多大な負担を抱えているセキュリティー・チームがリアルタイムまたはほぼリアルタイムでサイバー脅威を検出し、最小限の手動介入で対応できるように支援しています。これらの技術には、 侵入検知システム(IDS)侵入防御システム(IPS)セキュリティー情報・イベント管理(SIEM)セキュリティー・オーケストレーション、自動化、対応(SOAR) ソフトウェア、 エンドポイント検知・対応(EDR)拡張検知・対応(XDR) ソリューションなどが含まれます。
関連ソリューション
IBM Security® QRadar® Suite

統制された最新セキュリティー・スイートで脅威に打ち勝つQRadar ポートフォリオにはエンタープライズグレードの AI が組み込まれており、エンドポイントセキュリティ、ログ管理、SIEM、SOAR 用の統合製品を提供しており、すべて共通のユーザーインターフェース、共有された洞察、接続されたワークフローを備えています。

 QRadar スイートについて詳しくはこちら
データ・セキュリティーと保護ソリューション

オンプレミスまたはハイブリッド・クラウドに実装された IBM データ・セキュリティー・ソリューションは、サイバー脅威の調査と修復、リアルタイム制御の実施、規制遵守の管理のための優れた可視性と洞察を得るのに役立ちます。

 データセキュリティーと保護のソリューションの詳細はこちら
X-Force®インシデント対応チーム

プロアクティブな脅威ハンティング、継続的な監視、脅威の詳細な調査は、すでに多忙な IT 部門が直面している優先事項のほんの一部にすぎません。信頼できるインシデント対応チームを待機させると、対応時間が短縮され、サイバー攻撃の影響が最小限に抑えられ、より迅速な復旧が可能になります。

X-Forceインシデント対応の詳細はこちら
参考情報 ランサムウェアとは

ランサムウェアは、暗号化を解除してデータへのアクセスを復元するために攻撃者に身代金を支払わない限り、被害者のデータやファイルを破壊または保留すると脅すマルウェアの一種です。

 2022年「データ侵害のコストに関する調査」レポート

17 年目を迎えるこのレポートでは、拡大する脅威の状況に関する最新の洞察を共有し、時間を節約し損失を制限するための推奨事項を提供します。

 2023 X-Force脅威インテリジェンス・インデックス

CISO(セキュリティーチームとビジネス・リーダー): 脅威アクターがどのように攻撃を仕掛けているか、そして組織をプロアクティブに保護する方法を理解するための実用的な洞察をご覧ください。。
次のステップ

サイバー・セキュリティーの脅威はより高度かつ永続的になり、無数のアラートやインシデントを選別するためにセキュリティー・アナリストによるさらなる努力が求められています。IBM Security QRadar SIEM を使用すると、収益を維持しながら、脅威をより迅速に簡単に修復できます。QRadar SIEM は、高忠実度のアラートを優先して、他の人が見逃してしまう脅威をキャッチできるようにします。

QRadar SIEM について詳しく見る QRadar SIEMのデモの予約