ESETは1月13日(現地時間)、「Your information is on the dark web. What happens next?」において、個人情報がダークウェブに流出した場合の対処法を伝えた。
-
Your information is on the dark web. What happens next?
ダークウェブとは
ダークウェブと聞くと、アンダーグラウンドのWebサイトを想像しがちだが、ESETは「ダークウェブの多くは、一部のコメンテーターが主張するようなデジタル犯罪の巣窟ではない」と説明している。
ダークウェブは盗まれた個人情報や金融情報の売買を促進するために存在しており、多くの場合、個人データは麻薬、ハッキングツール、エクスプロイトなどの他のアイテムと一緒に売買されているという。
自分のデータがダークウェブで売買されていることがわかったら、どうしたらよいのだろうか。
個人情報の利用価値と自己防衛の限界
サイバー犯罪者が個人情報を狙う最大の理由は、経済的利益を得るためとされる。クレジットカード情報や口座情報を窃取して直接利益を得る方法以外にも、個人識別情報(PII: Personally Identifiable Information)やアカウント情報を販売することによって利益を得られる。
これら情報を購入したサイバー犯罪者は、身元の詐称、フィッシング詐欺、ソーシャルエンジニアリング攻撃などに悪用することで企業ネットワークに侵入し、機密情報の窃取やランサムウェア攻撃などの方法で巨額の利益を得る可能性がある。
このように個人情報はさまざまな悪用手段があり、影響は本人のみならず所属する会社や家族、友人にまで至る。被害を回避するには個人情報を積極的に保護する必要があり、本人および関係者、企業には慎重な取り扱いが求められている。
しかしながら、近年は個人情報の漏洩事案が増加傾向にあると指摘されている。ESETによると米国内で発生した2025年上半期のデータ侵害事案は1732件、漏洩件数は1億6570万件を超えたとされる。
個人情報の流出時に推奨される対策
ESETは個人情報の流出を把握した場合、その情報の種類に応じて。次の対策を実施するよう呼びかけている。
- アカウント情報を流出した場合はパスワードを変更する。パスワードマネージャーを利用して、一意かつ強力なパスワードを使用する。可能であればショートメッセージサービス(SMS: Short Message Service)を使用しない多要素認証(MFA: Multi-Factor Authentication)またはパスキーを有効にする
- セッションCookie(Webブラウザ情報)を窃取された場合は、ログイン状態を維持しているすべてのWebサイトからログアウトする
- クレジットカード情報を窃取された場合は、カード会社に連絡して凍結処理および再発行を依頼する
- 信用情報への影響が懸念される場合は、各信用機関に連絡して信用情報を凍結する。これにより身元詐称による信用枠の悪用(借り入れ)を防止できる
- 情報の流出元が所有するコンピュータの可能性がある場合は、信頼できるセキュリティソリューションを活用してマルウェアを駆除する
- 被害を受けたユーザーは居住国のルールに従い行動する。米国や英国では、関係機関や当局に報告することが推奨される
この他にも予防的な流出防止策として、企業に提出する個人情報の低減を推奨している。具体的にはAppleがiPhoneユーザーに提供している「メールを非公開」サービスの利用、オンライン通販サイトのゲスト購入の利用、ソーシャルネットワーキングサービス(SNS: Social networking service)でアカウントを非公開に設定するなどを提案している。
いずれもユーザーの積極的な行動が必要であり、安全は無償では得られないことを示している。被害にあってから行動するのではなく、被害を防止するために事前に行動を起こすことが望まれている。
