最近、データ漏えいに関する報道が相次いでいるが、そのたびに過剰に反応してパニックに陥るのではなく、冷静に状況を見極める必要がある。例えば、最近報じられた大規模な情報漏えいの事例を見てみよう。
サイバーセキュリティメディアのCybernewsが発表した最近の記事の見出しでは、過去最大級のデータ漏えいにより160億ものパスワードが流出し、Facebook、Google、Appleなど広範なサービスが影響を受けると報じている。これを聞くと恐ろしく感じるだろう。しかし、記事自体を読んでみると、異なる状況が明らかになる。
記事の内容を詳しく確認すると、これは1件の大規模な漏えいではなく、2025年初頭からCybernewsが監視していた30件の異なるデータセットを合計したものであることが分かる。
Cybernewsは、「われわれのチームは2025年初めからウェブ上を綿密に監視してきた」と述べている。「これまでに、数千万件から最大で35億件以上のレコードを含む30件の公開データセットを発見した。これらを合計すると、研究者たちは実に160億件という膨大な数のレコードを確認したことになる」
記事の後半でCybernewsは、これらのデータセットが一時的に公開されていただけであり、研究者が発見できる程度の短期間しかアクセス可能ではなかったことを明らかにしている。そのため、データの出所を特定するには至らなかった。また、データ自体も必ずしも新しいものではない。Cybernewsは、これらのデータセットがインフォスティーラー型マルウェアによって収集された情報、クレデンシャルスタッフィング用のデータ、さらに再パッケージ化された過去の漏えい情報が混在していると指摘している。
これらの漏えい情報は複数のデータセットに由来しているため、同一のレコードが重複して含まれている可能性が高い。その結果、160億件という数字は実際よりも誇張されている可能性が高い。
さらにCybernewsは、Facebook、Google、Appleの認証情報が漏えいしたと報じた他のメディアに対して批判的な姿勢を示している。一方で、Cybernewsの寄稿者であり、サイバーセキュリティ研究者であると同時にSecurityDiscovery.comの運営者でもあるBob Diachenko氏は、これらの企業において集中型のデータ漏えいは発生していないと述べている。これは、これらの主要テクノロジー企業の認証情報がデータセットに一切含まれていなかったという意味ではなく、あくまで、これらの企業自体が今回のインシデントにおいて直接的な被害を受けたわけではないということを意味している。
データ漏えいへの対応についてだが、こうした報道があるたびに「もう終わりだ」と過剰に騒ぎ立てる傾向が見られる。しかし、漏えいは現実に発生しており、個人に影響を及ぼす可能性が十分にある。
情報漏えいは、業種や分野、国を問わず、あらゆる場所で発生する。被害を受けるのは、個人、中小企業、非営利団体、さらにはFortune 500に名を連ねる大企業である場合もある。
IBMの推計によれば、2024年における企業のデータ漏えいによる平均損失額は490万ドルである。これは前年と比較して10%の増加となっている。
個人が受ける被害は、企業のように数字で表せるものだけではなく、もっと深刻で個人的な影響をもたらすことがある。金銭的な負担も無視できないが、それ以上に、個人の被害者は標的型フィッシング、ソーシャルエンジニアリング詐欺、個人情報の窃取、信用の失墜といったリスクに直面するおそれがある。さらに、漏えいした情報が現在あるいは将来どのように悪用されるか分からないという不安や恐怖を抱くことも少なくない。
提供:Moor Studio/Getty
この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。
