個人のプライバシーが侵害されたときにすべきこと
残念ながら、個人データの侵害はかなり頻繁に発生しています。個人データの損失、改変、または未承認の開示につながる攻撃が行われた場合、企業が攻撃を発見してからあなたにその旨通知するまでに最大90日間かかります。この間、保護されていないあなたの情報と資格情報が悪意のある攻撃者によって使用され、損害が拡がる可能性があります。この損害は、個人的な文書やパスワードの盗難から違法な金融取引、IDデータ全体の盗難にまで及ぶ可能性があります。
このため、現代のサイバーセキュリティでは監視サービスが基本的な要素となっています。あなたの情報が侵害の対象または個人に対する攻撃の対象となったためにオンラインで公開された場合、監視サービスからあなたに迅速に通知されるため、ほぼ即座に対応できます。
プライバシーが侵害されたときにすべきこと
あなたの情報がデータ侵害の対象であった可能性がある旨、企業から連絡があった場合、あなたの個人的な詳細がすでに、ダークウェブや、悪意のある攻撃者によって運営されている利益目的のデータベース上に公開されている可能性があります。大半のデータのプライバシー侵害の場合、最も重要なのは最初の72時間です。したがって、侵害が発生した場合はこの企業に問い合わせて、あなたの情報がそこでどれくらいの期間公開されている可能性があるか確認することが極めて重要です。情報が公開されている期間が長いほど、サイバー犯罪者が自分の利益のためにこの情報を利用する機会が増えます。
個人情報が侵害された場合は、72時間が過ぎていたとしても、適切な復旧手順を踏むことが非常に重要です。個人データの侵害の被害に遭ったと考えられる場合に講じるべきすべての手段を詳しく説明する段階的なガイドを以下に示します。
1. どのようなデータが侵害されたかを明らかにし、最新情報を確認する
2.公開された資格情報を更新する
3.2要素認証に登録する
4.すべてのアカウントを監視する
5. 金融プライバシーを保護する
1.どのようなデータが侵害されたかを明らかにし、最新情報を確認する
企業は、どの顧客情報が盗まれたのか、またはどのような種類のデータが盗まれたのかを正確に明かさない場合があります。しかし、あなたの情報が侵害に遭ったことを企業が明言しないからといって、行動を起こさなくてよいというわけではありません。あなたの情報が公開されている可能性があることを伝える通知を企業から受け取った場合、または漏洩に関する情報をメディアで知った場合、どのようなタイプの情報がそれに含まれるかを当該企業に問い合わせて確認する必要があります。盗まれた個人データの最も一般的な形式は、以下のとおりです。
- メール
- パスワード
- 名前
- 電話番号
- 住所
- クレジットカード情報
- 社会保証番号
プライバシーの侵害のあとにこれらの情報を変更したり安全であることを確認したりする作業には、コストまたは時間、あるいはその両方がかかる場合があります。どのような情報が公開されたかに基づいて優先順位の高い順に対応し、電話またはWebサイトを介して当該企業と協力して過去に遡って調べて、侵害に関するセキュリティの最新情報を確認することをお勧めします。
2.公開された資格情報を更新する
メールアドレスまたはパスワードの両方またはどちらかが公開されていると考えられる場合、これらを直ちに変更する必要があります。過去に複数のサイトでパスワードを再利用した場合、古いログイン情報をすべて更新し、今後は優れたパスワード対策を講じることが重要です。「強力な」パスワードを使用することをお勧めします。これについては、この記事のこのあとのセクションで詳しく説明します。一般的に、複数のパスワードを使用して定期的(3~6か月ごと)に更新することをお勧めします。
オンライン上で情報を保護する上で、すべてのパスワードを記憶するのはかなり時代遅れの方法です。このため、パスワードマネージャーを使用してすべてのパスワードを記録することもお勧めします。
3.2要素認証に登録する
2要素認証が利用可能である場合は必ずこのオプションに登録してオンラインのセキュリティを高めてください。「2段階認証」(または略して「2FA」)と呼ばれることもある2要素認証は、オンラインアカウント用のセキュリティの強化機能であり、追加の識別情報を入力することを義務付けます。
この識別情報は、追加の質問に対する「秘密の回答」から、メールに送信される安全なリンク、または電話にテキスト形式で直接送信される認証コードまで多岐に渡ります。このため、ハッカーがあなたのメールまたはパスワードを入手したとしても、あなたのアカウントにアクセスすることはできません。
4.すべてのアカウントを監視する
近年、ハッカーの手段は非常に高度化しています。公開された一連の資格情報があれば、多くの異なるWebサイト、ソーシャルメディアページ、サブスクリプションやメンバーシップ間で簡単にクロスチェックできます。あなたのパスワードがプラットフォーム間で複製されれば、サイバー犯罪者はプロフィール情報に素早くアクセスできる可能性があります。これにより、個人のメールアドレス、電話番号、さらには物理的な住所など、あなたに関するより詳細な情報が露呈します。
ハッカーは、より個人的な情報を徐々に入手することで、あなたの個人的な銀行のWebサイトやあなたのコンピューター自体など、最も重要なアカウントに侵入し、個人的な損害を拡げることができる可能性があります。このような理由により、パスワード「しか」漏洩していないとしても、データが侵害されたあとにアカウントを厳しく監視する必要があります。侵害後の数日間および数週間は、新しい購入、パスワードの変更、異なる場所からのログインなど、変わったアクティビティが行われていないか監視することが重要です。
5.金融プライバシーを保護する
データ侵害のために支払い情報が漏洩した場合、カードを即座にロックまたは一時停止して代わりのカードを送るようカード会社に依頼する必要があります。カードをロックすることで、漏洩したカード番号を使用して新たな購入が阻止され、交換用のカードに新しい番号が割り当てられ、今までどおり購入を続けることが可能になります。
支払い情報が安全であるとしても、クレジットモニタリングを設定することをお勧めします。これにより、誰かがあなたの名前で新しい信用貸しを申請した場合など、あなたのクレジットレポートに変更があったときに注意が喚起されます。また、アドレス、社会保証番号、またはその他のプライベート情報が侵害された可能性があると考えられる場合は、クレジットレポートの無料コピーを申請し、内容を詳しく確認する必要があります(いずれにしても、この手続きを6~12か月ごとに実行するのが理想的です)。
あなたの金融情報の詳細が公開されており、変更が行われていることが確実な場合は、信用情報を凍結するための手続きを踏む必要があります。この作業によって費用が発生することはなく、これによって、悪意のある攻撃者があなたの名前で新しい信用口座を開設することができなくなります。
今後のデータ侵害を防止する方法
サイバー犯罪がより高度になるに伴い、盗まれたあなたに関する情報がたとえわずかであっても、事態はより一層深刻化するようになりました。メールアドレスやパスワードをたった1つ入手するだけで、悪意のある攻撃者は、より機密性の高い有力なデータを非常に短時間に見つけることができる場合があります。また、あなたの情報が公開される羽目に陥るのは、大手企業のデータ侵害だけが原因ではありません。データ侵害は、(通常は保護されていないWi-Fi接続を介して)公共の環境や(たいていはサイバーセキュリティ要員のトレーニングが十分でない結果として)職場でも同様に発生します。
このため、現代では、個人情報を保護するために先を見越した手続きを踏むことが極めて重要です。すなわち、監視サービスとアンチウイルスソフトウェアの組み合わせを設定し、ハッカーに対する追加の保護層をデバイス、ネットワーク、アカウントに適用することが不可欠です。同様に、個人データの侵害が起きる可能性を最小限に抑えるためにユーザーが踏むことができる手続きが複数存在します。個人または職場のデバイスからのデータ漏洩を防止するための詳しいガイドを以下に示します。
- 強力なパスワードとMFAを採用する
- ソフトウェアを最新の状態に保つ
- データを定期的にバックアップする
- メールのアドレス帳を更新する
- 安全なURLを使用する
- アクセスコントロールをレビューする
- 従業員を教育およびトレーニングする
強力なパスワードとMFAを採用する
先に説明したとおり、優れたサイバーセキュリティは、定期的(3~6か月ごと)に変更される強力なパスワードから始まります。強力なパスワードは通常、最低8文字(10~12文字を推奨)で構成されています。このパスワードは、文字、数字、記号(これらが許可されている場合)の組み合わせである必要があります。パスワードには、親、子ども、ペットの名前やあなたの誕生日などの個人情報を決して含めないでください。サイバー犯罪者は、あなたのパスワードに対して総当たり攻撃を仕掛けようとする際に、あなたのソーシャルメディアアカウント内でこのような特定のタイプの情報を探しています。一部のサイバー犯罪者は、あなたの生活に関するキーワードをあなたの人生における重要な日と組み合わせてあなたのパスワードを推測しようと試みることができる特別なアプリさえ用意しています。複数のアカウントに同じパスワードを使用しないよう肝に銘じてください。使用するさまざまなパスワードのコレクションを持つ必要があります。同様に、2要素認証セキュリティポリシーを勧められたら選択すべきです。また、パスワードマネージャーを使用してパスワードのさまざまな変化形を保存することもお勧めします。
ソフトウェアを最新の状態に保つ
多くの場合、大手企業は、不可欠なセキュリティパッチと変更プログラムをソフトウェア更新を介して提供しています。だからこそ、業務用ソフトウェアと個人用ソフトウェアを最新の状態に保ち、プログラムの最新のバージョンを使用して、ぜい弱な弱点が公開されないようにすることが重要です。可能であれば常に、自動的なソフトウェア更新をすべて有効にすることをお勧めします。
データを定期的にバックアップする
データと重要な情報が完全に失われないようするために、外部デバイスに保存されている、またはオフサイトに安全に保存されている個人データのバックアップを用意することをお勧めします。データを定期的にバックアップすることは、あなたの情報をデバイスに常に保存しておく必要がなく、最初の侵害のあとでも、失われた情報はすべて復元できることを意味します。
メールのアドレス帳を更新する
オフィスで働いているか、在宅勤務しているか、フリーランスとして出先で働いているかとは関係なく、クライアントがアドレスやその他の連絡先の詳細を変更したら常に知らせてくれるようクライアントに依頼することをお勧めします。同様に、クライアント自体が個人的な侵害に遭ったかどうか定期的に尋ねるべきです。これら両方の対策により、同僚やクライアントのIDの盗難およびフィッシング詐欺を介して悪意のある犯罪者があなたの情報にアクセスすることを防止できます。
安全なURLを使用する
これは、現代のすべてのユーザーの一般的なIT対策にとって非常に重要です。同僚または外部ソースからリンクを受け取った場合、HTTPSから始まるURLのみを開いてください。同様に、オンラインでWebサイトにアクセスする場合、これらのWebサイトが信頼できるものであることが重要です。信頼できるWebサイトにはたいてい、ブラウザーの検索バーの左端に南京錠が表示されています。
アクセスコントロールをレビューする
在宅勤務がさらに普及するのに伴い、より幅広いソフトウェアと権限の利用が必要であることが明らかになっています。ただし、これは誰にでも当てはまるわけではありません。仕事用のノートPCでのセキュリティ侵害に不安を感じている場合、アクセスコントロールの厳格化に関してIT部門に相談してください。
従業員を教育およびトレーニングする
データ保護に関する責任はIT部門のみが負うわけではありません。あなたと同僚も等しく責任を負います。だからこそ、自社のサイバーセキュリティトレーニングを受けて常に最新の知識を取り入れ、侵害が発生した際は適切なリソースにアクセスできる必要があります。これには、メールを介した個人情報の送信や、デジタルペーパートレイルを簡単に確立するための適切な命名規則などに関するベストプラクティスが含まれます。最悪の事態が発生した際の適切な対応計画に関してIT部門または管理者に問い合わせるとともに、不審な攻撃または試みを即座に報告するよう徹底してください。
残念ながら、データ侵害は現代のデジタル世界で身近なものになっています。このため、私たちの個人情報は、たいていは私たちがほとんど知らない企業によってオンラインで保存および共有されています。したがって、次回オンラインでショッピングしたり新しいデジタルサービスや新しいWebサイトのサブスクリプションに登録したりする場合は、パスワードの再利用や最もプライベートな情報の共有についてもう一度よく考えてみるべきです。
関連記事やリンク:
関連製品:
個人のプライバシーが侵害されたときにすべきこと
Kaspersky
