情報漏えいの通知が届いたとからといって、絶望的な状況に陥るわけではない。個人情報が流出したことを知ったあと、数時間から数日の間に対応すべきことについて解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
情報漏えいは、組織のデータに第三者が不正にアクセスすることで発生する。多くの場合、顧客情報や従業員の個人情報が窃取されることになる。欧州ではGDPR(一般データ保護規則)と呼ばれる厳しい規制が制定され、企業に対してデータのセキュリティや取り扱いを改善するよう強制されることになった。GDPRにより、数百万ドル(数億円相当)の罰金が科される可能性があるのに加え、情報漏えいの発覚から72時間以内に報告する義務も生じている。
結果として、顧客や消費者に対する、情報漏えい事件に関する透明性が向上してきている。集められたデータからは、欧州の規制当局が尽力しているにもかかわらず、増え続ける情報漏えいの現状が読み取れる。米国においては、2021年第三四半期までで、2020年全体の情報漏えいの数を上回ってしまい、年間最多を更新する見込みだ。また、英国では中堅企業や大企業の約3分の2が、過去1年間に情報漏えいの被害を受けたと報告している。EU全体では、2018年5月から2021年1月の間に、28万件を超える個人情報の漏えいがあった。
しかし、情報漏えいを通知する手紙や電子メールがあなたに届いたとしても、絶望的な状況に陥るわけではない。通知を受けてから数時間から数日の間の行動によって、その後のなりすまし被害の有無に大きな影響を与えるからだ。
情報漏えいの通知を受けてから行うべきことについて、以下に重要なポイントを解説していく。
落ち着いて、通知をよく読む
条件反射的に動いてしまうのは事態を悪化させかねない。すぐにオンラインアカウントを閉じたり、すべてのカードを解約したりする必要はない。まずは深呼吸をして、何が起きたのかに注意を向けよう。通知の詳細に目を通し、何が盗まれ、盗難の影響はどれほどかを把握するべきだ。また、情報漏えいが自分の責任ではないことを示さなければならない際に備え、手紙や電子メールは保存しておくと良いだろう。
通知が本物であることを確認する
フィッシング詐欺のメールやメッセージは、悪意のあるリンクをクリックさせ、個人情報を聞き出すよう仕組まれている。あなたのデータが情報漏えいに遭ってしまったというのは、詐欺師が注意を引くために頻繁に使う方法の1つだ。これらのメッセージは、本物と偽物を見分けるのが難しくなっている。そのため、公式のWebサイトやソーシャルメディアから、該当の組織に直接連絡することが望ましい。担当者は、あなたが影響を受けているかどうか、そして、次に何をするべきかを説明してくれるだろう。詐欺だった場合は、通報した上でメッセージを削除しておこう。
後続の詐欺に注意する
サイバー犯罪集団は極めて狡猾に活動している。情報漏えいのはじまりに関わった攻撃者は、ダークウェブにある特定の犯罪サイトでデータを売却している可能性が高い。そして詐欺師は、ログイン情報やカード情報を詐取して収益化するためにそうしたデータを購入し、あなたを標的にしてフィッシングメールを送ってくるだろう。つまり、情報漏えいが発生した後に送られてくる、公式と思しき連絡には注意が必要だ。漏えいが発生した企業やそのほかの組織から送信されているよう、見せかけてくるからだ。フィッシングメールだと見抜くサインとしては、文法やスペルに間違いがあったり、送信元のメールアドレスが当該企業と異なっていたり、反射的に行動させるよう必要以上に緊急性を強調してくる、といった傾向がある。
パスワードを変更する
仮にログイン情報が流出しなかったとしても、安心のためにパスワードを変更しておくのが良いだろう。また、同じログイン情報を使っている、ほかのアカウントもパスワードを変更しておきたい。攻撃者は自動化ソフトウェアを使って、盗んだ大量のログイン情報をインターネット上にある多くのWebサイトに対し、運よく認証を突破できるまで繰り返し試みるからだ。できることなら、オンラインアカウントでは多要素認証(MFA)を有効にしたり、サイトごとに強固でユニークなパスワードを保存・読み出しできるようパスワードマネージャーの利用を検討するべきだ。
銀行口座やオンラインアカウントを確認する
ログイン情報が漏えいしたという通知を受けた際、同じログイン情報をほかのアカウントで使っているならば、それらもすぐに変更しなければならない。また、銀行口座に不審な履歴がないかを確認することも重要だ。個人情報を入手した詐欺師は、銀行や携帯電話会社のスタッフを騙して、登録情報をリセットさせたり、新しいパスワードを発行させたりすることもあるため注意が必要だ。
クレジットカードを停止、または解約する
金融機関に関する情報について深刻な漏えいがあったと通知を受けた場合、すぐに銀行に連絡し、カードの停止や解約、あるいはパスワードの変更を行う必要があることは言うまでもない。社会保障番号やID番号が漏えいした場合、詐欺師はあなたの名義で与信枠を広げ、多額の融資を受けてからそれを持ち逃げするかもしれない。これは、信用スコアに数か月間影響を与え、回復させるのに時間を要する可能性がある。こうしたリスクを軽減するには、セキュリティの観点から個人信用情報を停止するよう信用調査会社に依頼する方法がある。つまり、金融機関があなたの信用レポートを照会できなくなり、あなたの名義で新しい口座が作れなくなるのだ。
漏えいした状況を積極的に調べる
漏えいした企業・組織から通知された情報があまりにも曖昧だった場合、何の情報が影響を受けたのか、自分自身で調べる方法もある。Have I Been PwnedのようなWebサイトは、無料で検索サービスを提供している。また、既知の情報漏えいで自分のパスワードが盗まれているかどうか調べる方法について、こちらの記事にも目を通してほしい。
補償を求める
情報漏えいによって心理的、経済的苦痛を受けた場合は、何らかの補償を求めたくなるだろう。関係機関に連絡し、状況を報告しておこう。また、個人情報を扱う行政機関や弁護士に連絡し、自身が持つ権利を確認するのも良いだろう。
今日では情報漏えいがあまりにも頻繁に起こるようになったため、そうした危険に鈍感になっている可能性もある。そうなれば、詐欺師やサイバー犯罪者の思うつぼだ。情報漏えいのリスクを理解し、警戒を怠らないことで、インターネット利用に大きな影響を与えず、漏えい事件の被害を軽減できるだろう。
