2018年上半期の流出データは「45億件」、ジェムアルトが調査:漏えいデータのうち、暗号化済みはわずか1%
ジェムアルトは全世界のデータ漏えい事例の最新集計結果を発表した。2017年と比べると、データ漏えい件数は減少したものの、流出データ数は133%増加した。地域別では北米が過半数を占めた。
ジェムアルトは2018年10月9日、全世界で公表されたデータ漏えい事例のデータベース「Breach Level Index(BLI:情報漏えい危険度指数)」の最新集計結果を発表した。
それによると、2018年上半期に全世界で発生したデータ漏えい事例は945件で、45億件のデータが流出した。前年と比べると、データ漏えい件数は減少したものの、流出データ数は133%増加した。漏えいデータ数の56%以上を占めたのが、Facebook-Cambridge Analyticaを含む合計6件のソーシャルメディア関係だった。FacebookとTwitterでの漏えい事件が漏えいデータ数の1位と2位を占め、それぞれ22億件と3億3600万件だった。
なお全体の20%を占める189件については、漏えいしたデータ数が不明または非公開だった。
データ漏えいの原因のうち、最も割合の高かったのが「悪意のある部外者」で、56%を占めた。漏えいしたデータ数の80%以上が、悪意のある部外者によるものだった。漏えい原因で2番目に多かったのが「不慮の事故」で、事例数の3分の1を超えた。これに対して「悪意のある部内者」による漏えいは、前年同期と比べて半減した。
漏えいした情報の種類(左)と漏えいの原因(右) 個人情報の詐取(Identify Theft)が65%を占め、悪意ある部外者(Malicious Outsider)が56%を占めた(出典:BLIを要約したジェムアルトのインフォグラフィック)
次に漏えいしたデータの種類別で見ると、個人情報が最も多かった。漏えいデータ数では539%増加しており、全盗難データ数の87%強を占めた。深刻度が高く、悪化する傾向にあるのが金融情報。2018年上半期の金融情報漏えい事例数は、2017年上半期の171件に対して123件と減少したが、データ数では2017年上半期の270万件から130倍の3億5900万件へと激増した。
業種別にデータ漏えいの影響を見ると、官公庁や士業、小売り、テクノロジー以外の業種で事例数が増加し、ヘルスケアが引き続き最も多く被害を受けた。最大の事件は米ロサンゼルス郡で災害対応を担う組織「211 LA County」で起こった350万件のデータ流出だった。
GDPRの影響は?
地域的分布では、北米がトップ。全体に占める事例とデータ数の割合はそれぞれ59%(559件)と72%で、大半は米国(540件)だった。
日本は5件。情報漏えい通知義務法が実施されたオーストラリアでは、18件から308件に急増した。欧州では、事例数は36%減少したものの、データ数は28%増加した。欧州で最も漏えいの多かった国は英国だった。欧州では一般データ保護規則(GDPR)が2018年下半期に完全実施されることから、報告される漏えい事例数は増加すると見られる。
ジェムアルトのデータプロテクション事業部門でバイスプレジデント兼CTO(最高技術責任者)を務めるJason Hart氏は次のように述べている。
「2018年は、個人情報の漏えいに関してソーシャルメディアが最大の脅威になった。重要な顧客に働きかけるためにソーシャルメディアを利用する業界が増加しているため、この傾向は今後も続くと予想する。重要な選挙を控えた政治勢力も、特に関係している。GDPRが施行されたEUや、新たな情報漏えい通知義務法が実施されたオーストラリアからデータ漏えいの報告が増加することも予想している。ただし、こうした増加は実態が正確に報告されたからであり、事件数が実際に増加したと誤解しないように注意すべきだ」
BLIは、データ漏えいの統計と評価を2013年に始めた。それ以来、総計約150億件のデータが漏えいしたという。2018年上半期には、医療データやクレジットカード、口座番号、個人を特定できる情報など、1日当たり2500万件以上、1秒当たり291件のデータが流出したことになる。これらのデータのうち、暗号化によって保護されていたのは、わずか1%だった。2017年上半期と比べて、1.5ポイント減少しており、暗号化の恩恵がほとんど得られていない。
BLIでは、各データ漏えい事例について複数の要因を考慮して深刻度を数値化し、各漏えい事例を「それほど深刻でない」か「危険」なのかどうかを区別した比較リストを生成している。深刻度を数値化する際には、漏えいしたデータ数やデータの種類、漏えい源、漏えいデータがどのように利用されたか、データが暗号化によって守られていたかどうかなどを考慮しているという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
復号せずに複数の暗号化データの関連性を解析、NICTらが医療データ解析で実証
NICTと筑波大学は、医療データを暗号化されたまま解析する技術「まぜるな危険準同型暗号」を利用して、医療データを復号せずに、解析対象のデータかどうかを判別できることを実証した。個人の遺伝情報と病気の罹患情報との統計的な関連性を、各個人の病気の有無や遺伝情報を知ることなく安全に解析できるため、医療ビッグデータを安全に活用しやすくなる。
侵害を受けても、過半数が「漏えい件数が不明」という怖い事実
ジェムアルトは、2016年に発生した世界のデータ漏えい事件についてまとめた「2016年 Breach Level Index」に関する説明会を開催し、「漏えいは起こり得るもの」という前提に立った対策も必要と訴えた。
サイバー攻撃をリアルタイムで地図上に表示、カスペルスキーが日本語版を公開
カスペルスキーはサイバー攻撃をリアルタイムで地図上にアニメーション表示するサイバーマップを公開した。1秒当たりの検知数や、国別の検知状況ランキング、過去の統計データなどをリアルタイムで確認できる。