国内の100大企業のダークウェブへのアカウント情報漏洩を調査した結果、合計45万件以上が流出、ドキュメント流出は34社があることを確認しました。
サイバーセキュリテ会社の株式会社Aegistech(アイギステック https://www.aegistech.jp/)は国内の時価総額基準100大企業のダークウェブへのアカウント情報漏洩の現状を調査(‘23.1月末)した結果、合計45万件以上の情報が流出していることを確認しました。また、社内文書が流出した企業も32社あり、Credential Stuffing攻撃またはFishing攻撃が懸念されます。
<調査方法>
ダークウェブの脅威インテリジェンプラットフォームである「ステルスモール(StealthMole)」を利用して、2023年1月末基準、国内の主要企業からダークウェブへ流出したアカウントの数を調査しました。
・対象:時価総額上位100社の代表ドメイン
・アカウント情報はID(e-mail)とパスワードのペアが流出したケースを1件とカウント
・流出したアカウント情報はダークウェブに流出したデータ原本のままであり、真偽及び有効性(ログイン可能か)は検証しておりません。
< 調査結果 >
– 調査対象100社のすべての企業でDarkwebへの情報流出を確認
– 453,310件以上のアカウント流出を確認
– 社内文書が流出したケースを32社で確認
※より詳細な調査により流出した文書のタイトルと数を確認することができます。
– 流出したアカウント情報が1,000件以上の会社は54社あり、半数以上の会社で1,000件以上の情報がダークウェブへ流出したことが判明しました。
– 製造業と非製造業に分けて比較した場合, 通信/IT/金融/サービス/不動産など非製造業の情報流出が 78%で製造業より3倍以上あることが確認されました
– 本調査では、一般的に確認可能な各社の代表ドメインのみを対象に調査しましたので、子会社、グループ会社、協力会社のドメインまで拡大して精査を行う場合、さらに多くのアカウント情報流出が見つかるだろうと予想しています。
< ダークウェブの脅威とリスク>
– 国内外のダークウェブ市場の規模が次第に増加する傾向にあり、ダークウェブを通じた企業の被害が増加しています。 RaaS(Ransomware-as-a-Service)キットは数年間、ダークウェブで使用することができましたが、レビル(Revil)やガンクラブ(GandCrab)のような専門的な犯罪グループが登場するにつれて、これらのキットははるかに危険になりました。 これらのグループは自ら精巧な悪性コードを開発し、時には既存のツールと結合して「系列会社」を通じて配布します。系列会社はダークウェブを通じてランサムウェアパッケージを配布し、被害者のデータを盗み、身代金を払わないとダークウェブに公開すると脅す場合が多いです。
レビル(Revil)のような専門サイバー犯罪グループの実際の被害事例として、
‘21.5.7米国パイプライン企業(コロニアル)、ランサムウェア攻撃により操業一時停止、‘21.5.14日本東芝テック海外支社に対するサイバー攻撃、‘21.5.16グローバル保険会社(AXA)のランサムウェアおよびDDoS攻撃後ダークウェブを通じた情報流出などがあり、年々増加の傾向です。
– ダークウェブに流出したアカウント情報は「クリエイティブスタッフィング(Credential Stuffing)攻撃 ※」およびフィッシング攻撃などに悪用され、様々な2次被害を引き起こす可能性があります。 最近、ランサムウェアグループが企業内部に浸透するためにダークウェブに流出したアカウント情報を悪用する事例も増えています。
※Credential Stuffing攻撃 : ダークウェブなどから流出したIDやパスワードなどのログインアカウント情報を
収集し、他のウェブサイトやシステムなどに無作為に入力してログインに成功し、内部権限を獲得する攻撃
< 対応方法>
– ダークウェブを常時モニタリングして流出したアカウント情報を把握し、以下のように対応しなければなりません。
1. 直ちにセキュリティ専門家や専門会社を通じて流出経路を把握
2. 流出した個人情報の保護のため、新たにアカウントのパスワード ポリシーを適用し、セキュリティ認証手続きを強化
3. 個人情報が流出した経路及び方法を把握した場合は、関連する詳細内容を社内告知し社員全員が警戒心を持つように教育
4. 自動監査ソリューションを使用してダークウェブおよびその他のセキュリティ問題を点検および監視
5. ユーザーの個人情報漏洩防止のため、新たなセキュリティ手順作成、セキュリティ管理のための各PC、サーバ、DBの脆弱性確認、常に監視することができるシステムの導入と定期メンテナンス計画の検討
<株式会社アイギステック 「ダークウェブ情報流出監視」サービスについて>
オンラインプラットフォーム、ソーシャルメディア、ダークウェブへの企業情報、顧客の個人情報が流出しているかを定期的に調査および監視するサービスを提供します。
顧客のアカウント情報、電話番号、住所、Eメール、クレジットカード番号などの個人情報をはじめ、企業機密文書、メールアカウント/パスワード、ハッキング/ウイルスに感染したデバイス情報を調査することによって、より安全な環境を提供します。
