サイバーセキュリティコンサルティング会社の株式会社Aegistech(アイギステック)は、
国内の時価総額基準100大企業のDarkwebへのアカウント情報漏洩の現状を調査した結果、
合計45万件以上の情報が流出していることを確認しました。また、社内文書が流出した企業も32社あり、
Credential Stuffing攻撃またはFishingの悪用が懸念されます。
<調査方法>
Darkweb インテリジェンプラットフォームである「ダークトレーサー(DarkTracer)」を利用して、
2023年1月末基準、国内の主要企業のDarkwebへ流出したアカウントの数を調査しました。
. 対象:時価総額上位100社の代表ドメイン
. アカウント情報はID(e-mail)とパスワードのペアが流出したケースを1件とカウント
. 流出したアカウント情報はDarkwebに流出したデータ原本のままであり、
真偽及び有効性(ログイン可能か)は検証しておりません。
< 調査結果 >
– 調査対象100社のすべての企業でDarkwebへの情報流出を確認
– 453,310件以上のアカウント流出を確認
– 社内文書が流出したケースを32社で確認
※より詳細な調査により流出した文書のタイトルと数を確認することができます。
– 流出したアカウント情報が1,000件以上の会社は54社あり、半数以上の会社で
1,000件以上の情報が Darkwebへ流出したことが判明しました。
区分 | 会社数 | 流出件数 |
1万件 以上 | 9 | 283,773 |
5,000~10,000件 | 9 | 70,256 |
1,000~5,000件 | 35 | 85,041 |
100~1,000件 | 33 | 13,560 |
1~100件 | 15 | 680 |
合計 | 100 | 453,310 |
– 製造業と非製造業に分けて比較した場合, 通信/IT/金融/サービス/不動産など非製造業の
情報流出が 78%で製造業より3倍以上あることが確認されました
– 本調査では、一般的に確認可能な各社の代表ドメインのみを対象に、調査しましたので、子会社、グループ会社、協力会社のドメインまで拡大して精査を行う場合、さらに多いアカウント情報流出が見つかるだろうと予想しています。
< Darkwebへの脅威とリスク>
– 国内外のDarkweb市場の規模が次第に増加する傾向にあり、Darkwebを通じた企業の被害が増加しています。
RaaS(Ransomware-as-a-Service)キットは数年間、Darkwebで使用することができましたが、
レビル(Revil)やガンクラブ(GandCrab)のような専門的な犯罪グループが登場するにつれて、
これらのキットははるかに危険になりました。 これらのグループは自ら精巧な悪性コードを開発し、
時には既存のツールと結合して「系列会社」を通じて配布します。
系列会社はDarkwebを通じてランサムウェアパッケージを配布し、被害者のデータを盗み、
身代金を払わないとDarkwebに公開すると脅す場合が多いです。
レビル(Revil)のような専門サイバー犯罪グループの実際の被害事例として、
‘21.5.7米国パイプライン企業(コロニアル)、ランサムウェア攻撃により操業一時停止、
‘21.5.14日本東芝テック海外支社に対するサイバー攻撃、
‘21.5.16グローバル保険会社(AXA)のランサムウェアおよびDDoS攻撃後
ダークウェブを通じた情報流出などが年々増加の傾向です。
– Darkwebに流出したアカウント情報は「クリエイティブスタッフィング(Credential Stuffing)攻撃 ※」
およびフィッシング攻撃などに悪用され、様々な2次被害を引き起こす可能性があります。
最近、ランサムウェアグループが企業内部に浸透するためにDarkwebに流出した
アカウント情報を悪用する事例も増えています。
※Credential Stuffing攻撃 : ダークウェブなどから流出したIDやパスワードなどのログインアカウント情報を収集し、
他のウェブサイトやシステムなどに無作為に入力してログインに成功し、内部権限を獲得する攻撃。
< 対応方法>
– Darkwebを常時モニタリングして流出したアカウント情報を把握し、以下のように対応しなければなりません。
1. 直ちにセキュリティ専門家や専門会社を通じて流出経路を把握
2. 流出した個人情報の保護のため、新たにアカウントのパスワード ポリシーを適用し、セキュリティ認証手続きを強化
3. 個人情報が流出した経路及び方法を把握した場合は、関連する詳細内容を社内告知し社員全員が警戒心を持つように教育
4. 自動監査ソリューションを使用してDarkwebおよびその他のセキュリティ問題を点検および監視
5. ユーザーの個人情報漏洩防止のため、新たなセキュリティ手順作成、セキュリティ管理のための
各PC、サーバ、DBの脆弱性確認、常に監視することができるシステムの導入と定期メンテナンス計画の検討
<株式会社アイギステック 「Dark Web情報流出監視」サービスについて>
オンラインプラットフォーム、ソーシャルメディア、Darkwebへの企業情報、顧客の個人情報が
流出しているかを定期的に調査および監視するサービスを提供します。
顧客のアカウント情報、電話番号、住所、Eメール、クレジットカード番号などの個人情報をはじめ、
企業機密文書、メールアカウント/パスワード、ハッキング/ウイルスに感染したデバイス情報を
調査することで、より安全なセキュリティ対策を立てることができます。