企業情報のダークウェブ漏洩の現状と対策

近年、違法取引やサイバー犯罪の温床として「ダークウェブ」が度々メディアに取り上げられ、注目を集めています。ダークウェブとは、通常のブラウザ（Google、Yahoo、Bing等）では検索できないウェブサイトのことで、TorやI2Pといった通信匿名化ツールを経由することで閲覧が可能になります。

ダークウェブはその匿名性の高さから、言論の自由が制限されている国の人々が自由に発言できる場として機能する一方で、ドラッグや武器、さらに企業から流出した機密情報の違法取引を行う闇市場となってしまっている現状があり、大きく問題視されています。

本コラムではダークウェブへの企業情報流出についての現状と対策について取り上げます。

月平均1,700件の企業情報がダークウェブへ投稿

2023年12月、大手セキュリティ企業カスペルスキーはプレスリリースにて、2022年1月から2023年11月までの約2年間で、企業の内部情報の売買に関するダークウェブ上の投稿を月1,700件、合計で約4万件確認したことを発表しました。これらの投稿は、サイバー攻撃によって窃取したデータを売買、または配布するために使用されています。

また、同プレスリリースでは企業インフラへのアクセス情報についても、同期間内にて6,000件以上の投稿を確認したと発表しています。

さらに2022年に行った調査では、世界中の製造、通信、金融、小売りなどさまざまな分野から700社をランダムに選択し、企業データがダークウェブ上で言及されていないかを調べたところ、233社（3社に1社）が侵害されたデータについて言及されていたことも明らかにしています。^※

ダークウェブへの漏洩に対策するには

近年、サイバー攻撃は高度化、巧妙化の一途を辿り、情報漏えいを100%防ぐのは不可能であることを前提とした対策の必要性が高まっています。また、どれだけ自社のセキュリティを強化しても、取引先や子会社等が攻撃を受けることで自社の情報が流出してしまう可能性は捨てきれません。

ダークウェブへの漏洩によるリスクから企業を守るために必要なことは、まず自社の情報が漏洩していないかをチェックすること、そして定期的なモニタリングを行うことです。

例えば「Have I Been Pwned?」というツールは、メールアドレス等を入力すると、過去の漏えい事故に関するデータを元に個人情報やパスワード等の漏えいの有無を確認することができます。その他にも、企業情報漏洩のチェックとモニタリングを実現するには、下記でご紹介しているSMSデータテック社の「ダークウェブアイ」のような専用の監視ツールを利用することも考えられます。

さらに、自社の漏えい状況についてチェックが完了した後は、具体的な漏えい対策を講じる必要があります。弊社は漏えい対策として、データ暗号化をお奨めしています。暗号化のメリットとして、

• ネットワークへの侵入、漏えいを前提とした対策である
• サイバー攻撃だけでなく、内部犯による持ち出しにも対応可能である
• 取引先に渡したデータの二次漏洩も防ぐことができる

などが挙げられます。データの漏洩を防ぐには、データそのものに鍵をかけることが非常に有効な対策となります。

このようにまずは漏えい状況のチェックし、次に具体的な漏えい対策を検討、そして定期的なモニタリングを行うことで対策していくことが重要となります。

セミナーのお知らせ

企業情報の漏洩を可視化、暗号化を実現する

セミナー概要

タイトル	企業情報の漏洩を可視化、暗号化を実現する SMSデータテック＆データクレシスセミナー
日程	2024年4月10日（水）14:00 ～ 15:00
会場	オンライン（Teams）
参加費用	無料

※ご参加の際にお名前をご入力していただきますが、参加者にご入力いただいたお名前が表示されてしまいますのでご注意ください

※競合する企業の方、および個人からのご参加はお断りする場合がございます。あらかじめご了承ください。

セミナーは終了いたしました。
ご参加いただいた方はありがとうございました。

参考

※ Kaspersky、月平均1,700件の企業情報がダークウェブ上に出回っていることを突き止める | 株式会社カスペルスキー 2023年12月14日