Appleが示す個人情報の漏えい対策 増え続ける件数に対抗するには

Appleは個人情報漏えいに関する調査結果を発表した。漏えい件数は増加の一歩をたどっており、その原因は2つあるという。企業ができる解決方法も示した。

[Matt Kapko，Cybersecurity Dive]

　Appleは2023年12月7日、個人情報漏えいに関する調査結果を発表した（注1、注2）。調査を実施したのはスチュアート・マドニック氏（マサチューセッツ工科大学《MIT》の経営情報学の教授）だ。それによると、サイバー攻撃やデータ侵害により、個人情報の漏えいは増加の一途をたどっている。解決策はないのだろうか。

個人情報の漏えい件数が3倍に増加

　まず目を引くのが漏えい件数の増加だ。

　2013年と2022年を比較すると件数が約3倍に増えた。2021年と2022年の漏えい件数を合計すると26億件以上にもなる。

　米国の組織におけるデータ侵害の数は過去最高を記録しており、2023年の最初の9カ月間の件数だけで2022年全体と比較して20％増加した。

2023年はランサムウェア攻撃が急増

　個人情報を狙う脅威と侵害による漏えいの原因は何だろうか。ランサムウェアの増加とベンダーに対する攻撃という2つの要因があるという。

　「ランサムウェアグループはより組織化され、攻撃的になっている。政府や大衆向け遺伝子検査企業、医療施設などの機密データを持つ組織を標的にする可能性が高い」（マドニック氏）

　200以上の情報源からの研究と分析を引用した報告書によると、ランサムウェア攻撃の件数は、2023年の最初の9カ月間で、2022年の第1四半期から第3四半期までの合計よりも70％近く増加した。

　なお、2023年1〜9月のランサムウェア攻撃は、主に米国と英国で生じており、カナダとオーストラリアを加えた4カ国で世界全体の70％を占めた。

　ベンダーのアプリケーションにある脆弱（ぜいじゃく）性を悪用した攻撃も拡大している。それは、Progress Softwareのファイル転送サービス「MOVEit」に対する攻撃の全容がいまだに解明されていないことからも明らかだ（注3）。

　「ベンダーの脆弱性を悪用した攻撃は、しばしば広範な波及効果をもたらす。最初の攻撃によってベンダーのシステムやデータにアクセスできるようになると、ハッカーは、そのベンダーのクライアントのシステムやデータにもアクセスできるようになる可能性がある」（マドニック氏）

　Appleは個人情報の漏えいに対して、エンド・ツー・エンドの暗号化のようなクラウドにおけるデータ漏えいに対する強力な保護が不可欠だと指摘した。クラウドには膨大な個人情報が集まっており、その数は日々増加し続けているからだ。

出典：Data breaches fallout reach new heights as the number of exposed records soars（Cybersecurity Dive）
注1：Report: 2.6 billion personal records compromised by data breaches in past two years - underscoring need for end-to-end encryption（Apple）
注2：The Continued Threat to Personal Data: Key Factors Behind the 2023 Increase（Apple）
注3：MOVEit mass exploit timeline: How the file-transfer service attacks entangled victims（Cybersecurity Dive）