今世紀に入り、大規模なデータの拡散が始まって以来、4,000件以上の著名なデータ漏洩事件が発生し、現在までに約10億人のデータが漏洩または盗難に遭っています。

データ漏洩は、ユーザーのプライバシーに影響を与えるだけでなく、最終的には企業の生死を分ける分水嶺となるため、危険です。情報漏えいによる莫大な金銭的被害とイメージダウンは、多くの企業にとってうまく乗り越えられないキャズムとなっています。

今日は、史上最悪のデータ流出事件とその影響について見てみましょう。

12018 マリオット・インターナショナル：サーバーの損傷

このリストの中で最も陰湿な攻撃の一つであるこのデータ流出の背後にあるハッキングは、2014年にマリオットの現在のスターウッドブランドのサーバーが侵害されたことから始まりました。スターウッドは当時は別組織でしたが、2016年にマリオットに買収され、まだ発見されていない漏洩した記録サーバーも一緒に買収されました。

今回のハッキングは、盗まれたデータの性質上、特に懸念されるものです。漏洩した約5億人の顧客の個人情報には、氏名、住所、クレジットカード番号、電話番号のほか、顧客のパスポート番号、旅行先、個人の旅行日など、ハッキングされることがより少ない賞品が含まれていました。

マリオット・インターナショナルは、最終的に集団訴訟に直面し、契約違反により純資産が一瞬にして5.6％減少した。2020年初頭までに、データが流出したユーザーに対して約3億5,000万米ドルの損害賠償を支払っている。

22019 フェイスブック：セキュリティプロトコルの脆弱性

2019年、Facebookはいくつかのばかげたセキュリティインシデントに見舞われ、まとめて世界最大のソーシャルネットワークの脆弱性を露呈してしまった。

第一弾は、Instagramのユーザー情報約5,000万件のオンライン流出事件です。ユーザーデータは、ウェブトークンを介してアクセス可能なウェブサーバー上のプレーンテキストファイルに保存されており、Facebookが通常ターゲットとする高度なハッカー集団にとっては、単に簡単な選択だったのです。

次の情報漏洩は、より複雑なもので、Amazonのクラウドコンピューティングサービスに5億4千万人以上のFacebookユーザーの記録が公開されたことです。2つの第三者ウェブサイト（「At the Pool」と「Cultura Colectva」）は、Facebookのアカウントにリンクされたユーザー情報を、Amazonのウェブサーバー上の保護されていないデータベースに保存していました。

つまり、PoolやCulturaのデータベースにアクセスしようとした人が、セキュリティ侵害によって不用意にFacebookのデータにアクセスすることになる。公開されたデータベースには、個人の電話番号、FacebookのIDやパスワードのほか、性別や性的指向などの機密情報が含まれています。

2019年のデータ流出のニュースは、フェイスブックの株価の小幅な下落とともに、フェイスブックに対する世論を悪化させ、同社がユーザーデータをどのように扱っているかの調査を駆り立てた。

III.2019年最初の米国金融企業：データでわかること

このデータ流出事件では、本人確認の脆弱性により、合計で約8億8,500万件の財務記録が流出しました。

簡単に言えば、firstamericanはユニークで推測しにくいウェブリンクを使用して、機密性の高いユーザー記録を保存しています。パスワードによる保護やデータの暗号化もありません。ウェブリンクを推測する時間とリソースがあれば、会社のサーバーにあるレコードに即座にアクセスできるのです。ハッカーは、一定のパターンに従ったこれらのウェブリンクを自動的に生成するプロセスを通じて、ファースト・アメリカンのほぼすべての顧客情報へのアクセスに成功したのです。

今回のデータ流出は、流出したデータの機密性から特に悪名高いものとなっています。この侵入事件では、ハッカーが銀行取引明細書、住宅ローン、納税記録、社会保障番号、運転免許証の画像にアクセスしました。

情報漏えいの結果、同社は相当数の消費者を失っただけでなく、集団訴訟の対象となった。また、規制当局は現在、同社が銀行やその他の金融サービス企業にサイバーセキュリティ・プロトコルの導入と維持を義務付ける法律に違反したかどうかを調査しています。

42013 ヤフー：未発見の災難

最後になりましたが、この2013年世界最悪のデータ流出事件は、不評ではありますが、ほぼ3年間も発見されなかったことが大きな理由となり、受賞に至りました。

2016年9月、ヤフーは2013年からの3年間に、30億件すべてのユーザーアカウントの情報がハッカーに盗まれたと発表しました。同社は、地下のハッキングフォーラムやマーケットプレイスで、ユーザーのデータが**ハッキングされているのを見て、初めて情報漏洩を発見することができました。

これはロシアのハッキンググループが支援したハッキングで、名前、メールアドレス、電話番号、生年月日、暗号化されたパスワード、場合によってはセキュリティまで含むデータが盗まれたと推測されています。

このような情報漏えいは、ハッカーがヤフーのアカウントにアクセスできるだけでなく、ユーザーの銀行、ソーシャルメディアプロファイル、他の金融サービス、友人や家族とのつながりも漏えいするため、壊滅的な打撃を与える。

さらに悪いことに、15万以上の米国**および軍のアカウントがデータ流出の犠牲となった。ヤフーにとっては残念なことだが、このニュースは絶好のタイミングにやってきた。VerizonがYahooの買収に合意するわずか2日前、Yahoo史上最悪のデータ流出の詳細が話題になった。

この出来事は、取引の行方に不透明な雲を投げかけただけでなく、ヤフーが市場価値を主張する前に、組織と構造の抜本的な変更を余儀なくされた。結局、取引は1年近く延期され、この出来事によってヤフーの売却価格は3億5千万米ドル近くも下がってしまった。

また、ヤフーは23の著名な訴訟と数千の小規模なユーザー訴訟に直面し、最終的に約1億5千万ドルの和解金を支払うことになった。

史上最悪のデータ流出事件から学ぶべきこと

これらの事件は非常に恐ろしいものですが、氷山の一角に過ぎません。ユーザーデータの喪失に責任を負う企業は、短期的には影響を受けるかもしれませんが、最終的には社会的信用の回復と経済的損失の修復によって回復する可能性があります。

しかし、ユーザーへの影響は、より有害で長期的なものになると思われます。ユーザーデータがアンダーグラウンドのフォーラムやマーケットプレイスで自由に利用できる限り、人々は個人情報の盗難、銀行の盗難、さらには恐喝の被害に遭い続けるでしょう。分散型ダークウェブにより、このようなプラットフォームは当分増殖することは間違いないだろう。

皮肉なことに、高度にパーソナライズされたオンライン体験ができる便利さとともに、私たちの最も個人的で重要なデータは、しばしば見知らぬ人によって守られているのです。

ユーザー情報を保護する最善の方法は、何重もの暗号化やファイアウォールに委ねることではなく、ユーザー自身が個人情報の責任ある管理者となり、何をどこで開示するかを監視・管理することです。