T1567攻撃者がGoogle DriveやMEGAなどの正規サービスを悪用するにつれて、最も急速に増加しているデータ窃取は現代のサイバー攻撃を特徴づける要素となった。BlackFogの調査によれば、2024年前半のランサムウェア攻撃の93%でデータ窃取が行われ、攻撃者は暗号化を実行する前に機密情報を盗み出していた。これは脅威アクターの活動様式における根本的な転換を示しており、セキュリティチームが検知 対応検知 方法にも対応した転換が求められる。
これらの攻撃の速度は、誤りの余地をほとんど残さない。Unit 42の2025年インシデント対応レポートによれば、データ流出までの中央値はわずか2日となり、侵害発生後1時間以内にデータが盗まれるケースが5件中1件近くに上る。セキュリティ専門家にとって、データ流出の仕組みを理解し、それを阻止する方法は、これまで以上に重要となっている。
本ガイドでは、データ流出(データエクソフィルトレーション)について包括的に検証します:その定義、攻撃者の実行手法、使用するツール、そして2025年に実際に効果を発揮する検知・防止戦略について解説します。
データ流出対策市場はこの脅威の高まりを反映している。組織はデータ流出防止技術に多額の投資を行っており、世界のデータ損失防止市場は2026年までに60億ドルを超えると予測されている。この投資は、規制違反に対する罰則の強化、侵害コストの上昇、そして従来のバックアップ戦略では不十分となる流出を基盤とした恐喝への移行によって推進されている。
データ流出とは、組織のネットワークから脅威アクターが制御する外部場所への不正なデータ転送を指す。偶発的なデータ漏洩とは異なり、流出には意図的な窃取が伴う——攻撃者は金銭的利益、スパイ活動、恐喝を目的として、機密情報を標的にし、収集し、抽出する。NISTコンピュータセキュリティリソースセンターによれば、流出は「情報システムからの情報の不正な転送」と定義される。
セキュリティチームにとってこの区別は重要である。データ侵害が発生した場合、侵害そのものは結果であり、情報漏洩は往々にしてその手段(方法)となる。この関係性を理解することで、組織は攻撃者が実際に使用する転送メカニズムに検知努力を集中させることができる。
問題の規模は甚大である。BlackFogの調査によれば、2024年に成功したサイバー攻撃の94%で、暗号化と並行して、あるいは暗号化に代わってデータ流出が発生していた。攻撃者は、盗まれたデータが暗号化だけでは得られない影響力——公開や競合他社への売却という脅威——をもたらすことを認識している。この圧力により、システムがバックアップから復旧した後も脅威は持続する。
データ漏洩の標的として一般的に狙われるデータタイプには以下が含まれます:
用語を理解することで、セキュリティチームはインシデントについてより正確にコミュニケーションを取り、検知努力を適切に集中させることができる。
表1:データ流出、侵害、漏洩の区別 各データセキュリティインシデントの意図、原因、事例の比較
内部脅威はこれらのカテゴリーのいずれにも該当し得る。悪意のある内部関係者が意図的にデータを外部に流出させる行為は、意図的な窃盗に該当する。過失のある従業員が誤って機密ファイルを誤った受信者にメール送信する行為は、データ漏洩に該当する。いずれもリスクを生むが、異なる検知手法と対応手順を必要とする。
現代のデータ窃取は予測可能な攻撃ライフサイクルに従うが、攻撃者がこれらの段階を移動する速度は劇的に加速している。このライフサイクルを理解することで、セキュリティチームは各段階で検知の機会を特定できる。
情報漏洩攻撃のライフサイクル:
ユニット42インシデント対応レポートによれば、2024年の滞留時間は2023年の13日から7日に短縮された。さらに深刻なのは、Help Net Securityが報告するデータ流出が中央値で2日以内に発生し、5件中1件では侵害発生後1時間以内に発生している点である。
この圧縮されたタイムラインにより、長期間にわたる異常の特定に依存する従来の検知手法では、データ漏洩を完全に見逃す可能性があります。セキュリティチームには、進行中のデータ窃盗を特定できるリアルタイム振る舞い が必要です。
攻撃者は、ステルス要件とデータ量に基づいて選択した複数の経路を用いてデータ流出を行う:
DNSトンネリングは、DNSトラフィックが信頼され深く検査されることが稀であるため、最もステルス性の高い情報漏洩手法の一つである。InfobloxのDNSセキュリティリソースセンターによれば、攻撃者は盗んだデータをDNSクエリやレスポンス内にエンコードし、Webやメールトラフィックに焦点を当てた従来のセキュリティ制御を迂回する。
この手法は、データを小さなチャンクに分割し、攻撃者が制御するドメインへのサブドメインクエリとしてエンコードすることで機能する。攻撃者のDNSサーバーはこれらのクエリを受信し、データを抽出して再構築する。レスポンスレコードは、侵害されたシステムへコマンドや追加データを伝送する役割を担う。
検出には、DNSクエリパターンの異常を分析することが必要です。
攻撃者が機密データストアへのアクセス権を持つシステムに潜伏する際、ラテラルムーブがDNS情報漏洩に先行することが多い。この関係性を理解することで、セキュリティチームは攻撃ライフサイクル全体にわたるネットワーク活動の相関分析が可能となる。
クラウドストレージサービスの悪用は、正当なビジネス通信と混在するため、データ窃取の好ましい手法となっている。APTグループやランサムウェア運用者は、Google Drive、Dropbox、OneDrive、MEGAなどのクラウドストレージサービスを盗んだデータの抽出にますます利用している。
東南アジア諸国政府を標的とした「アース・クルマ」作戦は、この手法を効果的に実証した。データ窃取にはDropboxとOneDriveを利用しつつ、KRNRATおよびMORIYAルートキットによる持続的アクセスを維持した。これらのサービスはビジネス用途で広く利用されているため、通信は正当なものに見える。
コマンド&コントロール(C2)インフラもクラウドサービスをますます活用しており、フォグランサムウェアのようなグループはC2通信にGoogleスプレッドシートを使用している。この手法は通常の生産性ツールの使用と区別が難しい。
検出には以下が必要です:
ソーシャルエンジニアリング攻撃は、その後のデータ窃取を可能にする初期アクセス手段として頻繁に利用される。攻撃者は技術的脆弱性ではなく人間の心理を操作し、データ窃取に必要な認証情報やアクセス権を取得する。
情報漏洩につながる一般的なソーシャルエンジニアリングの手法:
セキュリティ対策は技術的防御と並行して人的要素に対処しなければならない。セキュリティ意識向上トレーニングはソーシャルエンジニアリングへの脆弱性を低減し、多要素認証は盗まれた認証情報の影響を制限する。組織は機密データ要求や異常なアクセスパターンに対する検証手順を実施すべきである。
データ漏洩は、関与する脅威主体、使用されるベクトル、または採用される手法によって分類できる。これらの分類を理解することで、組織は自社の特定の脅威環境に基づいて検知投資の優先順位付けが可能となる。
国家レベルの高度持続的脅威グループとサイバー犯罪組織は、最も洗練された外部への情報流出脅威を構成している。
2024年から2025年にかけてデータ窃取活動を実施しているアクティブなAPTグループ:
ランサムウェア攻撃者によるデータ窃取は標準的手法となった。BlackFogの報告によれば、2025年第3四半期のランサムウェア攻撃の96%でデータ窃取が発生——これは過去最高記録——被害者1人あたり平均527.65GBのデータが流出している。
内部者による脅威は、内部者がシステムやデータへの正当なアクセス権を持つため、独自の検知上の課題をもたらす。
悪意のある内部関係者は、個人的な利益、競争上の優位性、または妨害行為のために意図的にデータを窃取する。2024年のGoogle内部者窃取事件はその潜在的な影響を示している:Sytecaの内部脅威侵害分析によれば、ソフトウェアエンジニアの林偉丁(リンウェイ・ディン)は、10年以上にわたる独自のAIチップ設計とスーパーコンピューティングアーキテクチャを含む500件の機密ファイルを外部に流出させた。
過失のある内部関係者は、意図せず以下の方法でデータを漏洩させる:
検知には、ベースラインパターンを確立し逸脱を特定する振る舞い が必要です。例えば、従業員がこれまで触れたことのない大量のファイルに突然アクセスしたり、通常は行わないUSBドライブへのデータコピーを行ったりするケースが該当します。
表2:ベクターおよびアクター別データ漏洩手法の種類 ベクトル、典型的な脅威主体、検知の焦点を示す流出手法の分類
MITRE ATT&CK 、情報漏洩の理解と検知に向けた体系的なアプローチを提供します。情報漏洩戦術(TA0010)には、セキュリティチームが監視すべき9つの手法と8つのサブ手法が含まれます。
フィデリス・セキュリティによるCovewareデータの分析によると、2024年第4四半期に観測された事例の87%で情報漏洩が発生し、攻撃手法ランキングで第1位となった MITRE ATT&CK 戦術として首位を占め、Command and Control、防御回避、実行を上回った。
表3:MITRE ATT&CK マトリックス 主要な情報漏洩手法(ID、サブ手法、検知推奨事項)
脅威検知および脅威ハンティングチーム向けに、以下の検知戦略は特定のMITREテクニックに対応しています:
T1041 - C2チャネル経由での情報漏洩:
T1048 - 代替プロトコルによる情報漏洩:
T1567 - Webサービス経由での情報漏洩:
T1052 - 物理媒体を介した情報漏洩:
攻撃者が使用する具体的なツールを理解することで、より効果的な検知ルールや脅威ハンティングクエリが可能となる。情報漏洩ツールの領域では、攻撃者が転用する正規のユーティリティが主流を占めている。この手法は通常の業務と混同させることで検知を回避するのに役立つ。
ReliaQuestによるデータ窃取ツールの分析によると、2023年9月から2024年7月までのランサムウェア攻撃の57%でRcloneが使用されており、現在の脅威環境において主要なデータ窃取ツールとなっている。
Rcloneは、クラウドストレージサービスへのファイル同期を目的としたオープンソースのコマンドラインプログラムです。Google Drive、Amazon S3、Dropbox、MEGAなど40以上のクラウドプロバイダーをサポートしており、これらは攻撃者が盗んだデータの受け取りに好んで利用するサービスと同じです。
攻撃者がRcloneを好む理由:
Rcloneの検知インジケーター:
rclone.exe または rcloneメガ, gdrive, s3またはその他のクラウドサービス名--証明書チェックを無効化 (SSL検査を回避するために一般的に使用される)コピー, 同期または 移動 外部宛先エンドポイント検知および対応ソリューションには、Rcloneコマンドラインパターンのための特定の検知ロジックを含めるべきである。
Rclone以外にも、攻撃者は様々な正規のファイル転送ユーティリティを悪用する:
WinSCP:企業環境で広く導入されているWindows用SFTPおよびFTPクライアント。信頼性の高いツールであるため、外部ホストへのWinSCPセッションは、検出を特に設定していない環境ではアラートをトリガーしない可能性があります。
cURL: Windows 10以降のバージョンにネイティブで搭載されているcURLは、導入の必要がなく、攻撃者は最新のWindowsシステムであればすぐに利用できます。この「Living-off-the-land (LOTL) 」アプローチにより、マルウェア検知のトリガーとなる可能性のある追加の実行ファイルをドロップすることを回避できます。
Azure Storage ExplorerとAzCopy:BleepingComputerによれば、BianLianやRhysidaを含むランサムウェアグループが、Azure Blobストレージの速度とMicrosoftインフラの正当性を悪用し、データ窃取にAzureツールを増加傾向で使用している。
RMMソフトウェア:AnyDesk、Splashtop、Ateraなどのリモート監視・管理ツールは、コマンド&コントロール機能とデータ転送機能の両方を提供します。特にFogランサムウェアは、これらのツールとGoogleスプレッドシートをC2(コマンド&コントロール)に組み合わせて使用しています。
表4: 情報漏洩ツールの比較と検知手法 インシデントデータに基づくツールの普及率と特定の検知手法
実世界の事例研究は、情報漏洩攻撃がどのように展開されるか、そして組織がそこから学べる教訓を明らかにする。2024年から2025年にかけて発生したインシデントで記録された財務的・業務的影響は、情報漏洩がセキュリティチームの主要な懸念事項となった理由を示している。
IBMのデータ侵害コスト報告書2024によると、データ流出による恐喝の平均コストは1件あたり521万ドルに達し、世界平均の侵害コスト488万ドルを上回った。この割増は、攻撃者が盗んだデータから得る追加的な影響力と、機密情報が組織の管理下を離れた場合に必要となる拡張された修復作業を反映している。医療サイバーセキュリティおよび金融サービス分野の組織は、規制上の罰則と保護対象データの機密性により、最も高いコストに直面している。
スノーフレークのデータ漏洩事件(2024年)
スノーフレークの侵害事件は、技術プロバイダーにおける認証情報の侵害が、数百もの顧客組織に波及する可能性を明らかにした。クラウドセキュリティアライアンスの分析によれば:
チェンジ・ヘルスケア攻撃(2024年)
チェンジ・ヘルスケアへの攻撃は史上最大級の医療データ侵害事件の一つとなり、相互接続されたシステムにおける情報漏洩の増幅された影響を実証した。ERMプロテクトの分析文書:
イングラム・マイクロ・セーフペイ攻撃(2025年)
イングラム・マイクロへの攻撃は、VPN認証情報の侵害が大量のデータ窃盗を可能にすることを示している:
クロール社の「データ侵害見通し2025」およびIBMの調査によると、特定の業界では情報漏洩リスクが高まっている:
表5:業界別情報漏洩の影響比較 業界別侵害発生率、コスト、標的となったデータタイプを示す主要指標
製造業は4年連続で最も標的とされる業界であり、製造業企業の51%が平均100万ドルの身代金を支払っている。同業界が運用技術と知的財産に依存していることが、恐喝型攻撃に対して特に脆弱な要因となっている。
効果的な検知には、複数の技術を組み合わせた多層的なアプローチが必要です。単一のソリューションでは、あらゆる情報漏洩の試みを捕捉することはできません。攻撃者は検知を回避するため、意図的に正当なツールや暗号化された通信経路を利用します。
BleepingComputerが発表した「ブルーレポート2025」によると、2025年第3四半期において組織が阻止できたデータ流出試行はわずか3%——これは過去最低の阻止率である。この統計は検知技術への投資が極めて重要であることを浮き彫りにしている。
DLPソリューションは、データ移動に対するコンテンツ認識型検査とポリシー適用を提供します:
機能:
制限事項:
ネットワーク検知とレスポンスソリューションは、振る舞い を用いてネットワークトラフィック分析を通じて検知 。IBMのNDR概要によると、NDRは情報漏洩検知において以下の利点を提供します:
機能:
漏洩検知の強み:
UEBAは正常なユーザー行動の基準値を設定し、侵害や内部脅威を示す可能性のある逸脱を特定します:
検知能力:
エンドポイント検知とレスポンスは、情報漏洩ツールの使用を検知するために重要なホストレベルの活動に対する可視性を提供します:
検知能力:
データ漏洩の兆候を早期に認識することで、迅速な対応が可能となり、データ損失を軽減できます。セキュリティチームは以下の警告サインを監視すべきです:
ネットワークベースの指標:
効果的なネットワークトラフィック分析は、データが組織外に流出する前にこれらのパターンを特定するために不可欠である。
エンドポイントベースの指標:
ユーザー行動指標:
効果的なデータ流出防止には、ネットワーク、エンドポイント、クラウド環境全体にわたる継続的な監視が必要です。特定の時点での評価では、活発なデータ窃盗を示すリアルタイムの兆候を見逃してしまいます。
監視の優先順位:
組織は、ユーザー、デバイス、ネットワークトラフィックの基準となる行動を確立すべきである。これらの基準からの逸脱は調査のためのアラートをトリガーし、シグネチャベースの制御を回避する高度な情報漏洩の検出を可能にする。
表6:情報漏洩検知技術の比較 各検知手法の機能、強み、および制限事項
効果的な検出チェックリスト:
予防には多重防御が必要である——単一の対策ではすべての情報漏洩の試みを阻止できない。最も効果的な戦略は技術的対策と人的要因を組み合わせ、一部の攻撃者が境界防御を迂回することを前提とするものである。
ゼロトラストアーキテクチャ:ゼロトラスト は情報漏洩防止の基盤となるフレームワークを提供する。主要な原則は以下の通り:
ネットワークセグメンテーション:適切なセグメンテーションは、初期侵害後も攻撃者がアクセスできるデータを制限します:
出口フィルタリング:ネットワークから送信できるデータを制御する:
DNS監視:DNSベースの情報漏洩を検知 防止する:
多要素認証:全システムでのMFA導入により、認証情報に基づく侵害を低減します:
CASB導入:クラウドアクセスセキュリティブローカーは可視性と制御を提供する:
組織は、異なる攻撃ベクトルに対処する多層的なデータ漏洩防止ソリューションを導入すべきである:
ネットワーク層の解決策:
エンドポイント層ソリューション:
クラウド層ソリューション:
アイデンティティ層ソリューション:
最も効果的なアプローチは、全レイヤーにわたる解決策を組み合わせ、統合によって指標の相関分析と調整された対応を可能にするものである。
データ漏洩が検出された場合、または疑われる場合、組織は構造化されたインシデント対応手順書に従うべきである:
フェーズ1:検知と初期評価(0~4時間)
フェーズ2:封じ込め(4~24時間)5. フォレンジックの完全性を維持しつつ、影響を受けたシステムを隔離する6. 侵害された認証情報とセッションを無効化する7. 特定された情報漏洩経路(IPアドレス、ドメイン、クラウドアカウント)を遮断する8. 機密データストアに対する緊急アクセス制御を実施する
フェーズ3:調査と根絶(24~72時間)9. 包括的なフォレンジック分析を実施し、攻撃のタイムラインを特定する10. 初期アクセスベクトルと永続化メカニズムを特定する11. 脅威アクターがアクセスした全システムをマッピングする12. 攻撃者のアクセス権限、および展開されたツールやバックドアを削除する
フェーズ4:通知と復旧(必要に応じて)13. 規制当局への通知要件を評価する(GDPR 72時間、HIPAA 60日、NIS2 24時間)14. 規制当局、影響を受けた個人、および利害関係者向けの通知内容を準備する15. 必要に応じて、正常なバックアップからシステムを復元する16. 再発防止のための追加的な管理措置を実施する
フェーズ5:インシデント後の活動17. 30日以内に教訓のレビューを実施する18. 観察された手法に基づき検知ルールを更新する19. 特定されたギャップに対処するため予防的制御を強化する20. コンプライアンスおよび将来の参照のためにインシデントを文書化する
組織は、このプレイブックを机上演習を通じて訓練し、進化する脅威や規制要件に基づいて更新すべきである。
データ漏洩インシデントは、複数の規制枠組みにおける通知要件を発生させます。これらのタイムラインを理解することは、インシデント対応計画とコンプライアンスにとって不可欠です。
表7:データ漏洩インシデントに関する規制上の通知要件 通知期限、罰則、適用範囲を定めた主要規制
CynetのGDPR違反通知ガイドによると、72時間の通知期間は組織が違反を認識した時点から開始されるため、迅速な検知と調査が不可欠である。
HHSのHIPAA違反通知要件では、過失の程度に応じた段階的な罰則が定められており、過失による違反の場合は1件あたり137ドルから、是正されない故意の怠慢の場合は68,928ドルまでが科せられる。
NIS2指令は経営陣の責任を導入し、サイバーセキュリティ上の失敗について経営陣が個人的に責任を負うことを定めている。これにより、文書化されたセキュリティ対策とインシデント対応手順の重要性がさらに高まる。
予防チェックリスト:
情報漏洩の脅威環境は進化を続けており、セキュリティチームは検知・対応能力の適応を迫られている。正当なツールや暗号化通信を利用する攻撃者に対して、従来のシグネチャベースの手法は苦戦を強いられている。
現代のデータ流出防御は、検知 データ窃取手法を検知 するためにAIと機械学習に大きく依存している:
ハッカーニュースによれば、AIツールがデータ流出の主要経路となっており、AIセッションの67%が企業管理を回避する個人アカウント経由で発生している。これにより新たな検知課題が生じ、AIサービスへの貼り付けやアップロード操作の監視が必要となるが、従来のDLPでは対応が困難である。
Vectra はデータ漏洩を Attack Signal Intelligenceネットワーク、クラウド、ID環境全体で検知 漏洩手法検知 振る舞い を活用します。シグネチャベースの検知だけに依存せず、攻撃者が暗号化チャネル、Rcloneのような正当なツール、クラウドサービスを利用するか否かを問わず、データの準備段階や不正な転送を示す振る舞い 特定することに重点を置いています。
この手法MITRE ATT&CK 準拠し、セキュリティチームが情報漏洩の試みを技術レベルで可視化できるようにします。ハイブリッド環境におけるメタデータパターン、接続挙動、データ移動を分析することで、攻撃者が従来の制御を回避するために設計された正当なツールや暗号化チャネルを使用した場合でも脅威の検知が可能となります。
攻撃者の行動に焦点を当てることで、静的な指標に依存せず、シグネチャの更新を待たずに新たな手法を検知できます。AIセキュリティ脅威が進化する中、振る舞い ますます重要性を増しています。
データ流出の脅威環境は急速に進化を続けており、今後12~24か月間にセキュリティチームが予測すべきいくつかの重要な動向が見られる。
脅威の媒介と検知ツールとしてのAI:AIツールは最も急速に拡大する情報漏洩経路である。組織は生成AIサービスへのコピー&ペースト操作に対応するAI特化型監視を導入すべきだ——従来のファイルベースDLPでは検知 できない。同時に、高度な情報漏洩手法をリアルタイムで特定するには、AIを活用した検知が不可欠となる。
暗号化より純粋なデータ窃取:暗号化を伴うランサムウェアから、純粋なデータ窃取に基づく恐喝への移行が加速する。Cl0pやWorld Leaksといったグループは、暗号化の運用上の複雑さを伴わずに、盗まれたデータが十分な脅威材料となることを実証した。セキュリティチームは、ランサムウェアの暗号化指標のみに注力するのではなく、データ窃取の検知を優先すべきである。
規制の進化:EUデジタルオムニバスパッケージは、GDPRの通知期限を72時間から96時間に延長し、規制横断的な報告のための単一窓口(Single Entry Point)の創設を提案している。組織は、現行の通知機能を維持しつつ、進化するコンプライアンス要件に備えるべきである。
クラウドネイティブの機密情報流出の増加:組織がより多くのワークロードをクラウド環境に移行するにつれ、攻撃者は機密情報流出のためにクラウドネイティブのツールやサービスをますます活用するようになる。検知にはクラウドプラットフォームのAPIやIDシステムとの深い統合が求められる。
Zero-day :Cl0pなどのグループは、企業向けソフトウェア(MOVEit、Oracle EBS) ゼロデイ特定・悪用し、大量のデータ窃取を継続している。組織は迅速なパッチ適用プロセスと、未修正の脆弱性に対する補償的制御を実施すべきである。
準備に関する推奨事項:
投資の優先順位は、ハイブリッド環境全体で機能する振る舞い 能力、攻撃者の進化に対応できるAI主導型分析、および初期アクセスから情報漏洩までの攻撃ライフサイクル全体を相関分析可能にするセキュリティツール間の統合に焦点を当てるべきである。
データ流出とは、組織のネットワークから脅威アクターが制御する外部場所への不正なデータ転送を指す。NISTによれば、これは「情報システムからの情報の不正な転送」を意味する。偶発的なデータ漏洩やデータ窃取を伴わないシステム侵害とは異なり、流出は特に機密情報の意図的な抽出を伴う。
関連用語との区別はセキュリティチームにとって重要である。データ侵害は結果であり、データが不正にアクセスされるセキュリティインシデントを指す。データ漏洩は設定ミスや人的ミスによる意図しない情報流出である。情報窃取は攻撃者が情報を盗むために用いる意図的な手法である。
BlackFogの調査によると、2024年にはランサムウェア攻撃の93%でデータ窃取が発生しており、これは偶発的な事象ではなく主要な脅威ベクトルとなっている。データ窃取までの中央値はわずか2日となり、全インシデントの約5分の1では最初の1時間以内にデータが盗まれている。
データ漏洩とは、データを盗むために用いられる手法または技術であり、データ侵害とは、データが不正にアクセスされるというセキュリティインシデントの結果を指す。あらゆる漏洩は侵害を生むが、あらゆる侵害が漏洩を伴うわけではない。
例えば、攻撃者がデータベースへの不正アクセスを得て顧客記録を閲覧した場合、侵害は発生したことになる。しかし、そのデータを外部にコピーまたは転送しなければ、データ流出は発生していない。逆に、ランサムウェアのオペレーターがRcloneを使用して500GBのファイルをMEGAクラウドストレージにコピーした場合、データ流出と侵害の両方が発生したことになる。
この区別はインシデント対応に影響する。データ流出を伴わない侵害は、アクセスが迅速に遮断されれば下流への影響は限定的である。一方、データ流出は恒久的な危険を生む——データが組織の管理下を離れると、回収は不可能となり、攻撃者は恐喝の手段を無期限に保持し続ける。
攻撃者は、データ量要件、ステルス性の必要性、利用可能なインフラストラクチャに基づいて選択された複数の経路を通じてデータを外部に流出させる:
暗号化されたHTTPS接続:最も一般的な方法であり、通常のWebトラフィック暗号化を利用してデータ転送を隠蔽します。クラウドストレージサービスやカスタムエンドポイントを使用する場合があります。
DNSトンネリング:DNSクエリとレスポンス内にデータを暗号化して埋め込み、ウェブトラフィックに焦点を当てたセキュリティ制御を迂回する手法。データ量が少ない場合や他の通信経路が遮断されている場合に有効。
クラウドストレージサービス:Google Drive、Dropbox、OneDrive、およびMEGAは、データ転送のための正当なインフラストラクチャを提供します。トラフィックは通常の業務利用と混在します。
指揮統制チャネル:既存のC2通信に便乗したデータであり、多くの場合暗号化されており、通常のC2トラフィックとの区別が困難である。
物理メディア:内部脅威対策、またはネットワーク経由の情報漏洩が検知される可能性がある場合におけるUSBドライブおよびリムーバブルストレージ。
現代の攻撃者は、通常の業務に溶け込み、信頼されたクラウドインフラを活用するRclone(ランサムウェア事件の57%で使用)のような正当なツールを好んで利用する。
ReliaQuestの2023年9月から2024年7月までの調査によると、Rcloneはランサムウェアインシデントの57%を占め、情報漏洩ツールの分野で圧倒的なシェアを有している。その他の一般的に確認されるツールには以下が含まれる:
Rclone:MEGA、Google Drive、S3など40以上のサービスに対応したオープンソースのコマンドライン型クラウドストレージ同期ツール。高速でスクリプト化可能、ランサムウェア運用者にも広く利用されている。
WinSCP:企業で広く導入されているWindows用SFTP/FTPクライアントであり、悪意のある利用を正当な活動と見分けにくくしている。
cURL:Windows 10以降に標準搭載されており、追加のデプロイメントを必要としません。追加の実行可能ファイルをドロップすることなく、Living-off-the-land (LOTL) 攻撃を可能にします。
Azure Storage Explorer/AzCopy:BianLianやRhysidaといったグループによるAzure Blobストレージへの情報流出に、ますます頻繁に利用されている。
MEGAsync:MEGAクラウドストレージクライアント。攻撃者が管理するアカウントへの自動同期を目的として、Rcloneと組み合わせて頻繁に使用される。
RMMソフトウェア:AnyDesk、Splashtop、Ateraは、正当な業務上の理由に基づき、C2機能とデータ転送機能の両方を提供します。
効果的な情報漏洩検知には、複数の技術が連携して機能することが必要です:
データ損失防止(DLP):機密データパターンのコンテンツ検査、データ移動に対するポリシー適用を行うが、暗号化されたトラフィックに対する効果は限定的である。
ネットワーク検知とレスポンス(NDR):ネットワークトラフィックパターンの振る舞い 、復号を必要としない暗号化トラフィック分析、確立されたベースラインに対する異常検知。
ユーザーおよびエンティティ行動分析(UEBA):時間外アクセス、異常なデータ量、通常の役割範囲外のアクセスなど、異常なユーザー行動の検知。
エンドポイント検知とレスポンス(EDR):情報漏洩ツールのプロセス監視、ファイルアクセスログ記録、コマンドライン引数解析。
侵害の主要な検知指標には、外部宛先への異常なデータ量、営業時間外でのファイルアクセスに続くネットワーク転送、新規登録ドメインへの接続、データ流出ツールのプロセス生成(Rclone、WinSCP、cURL)、およびクラウドサービスへのアクセス異常が含まれる。
2025年第3四半期において、組織が阻止できたデータ流出の試みはわずか3%に留まり、包括的な検知機能への投資の必要性が浮き彫りとなった。
DNSトンネリングは、盗んだデータをDNSクエリとレスポンス内に暗号化して埋め込み、従来のセキュリティ制御を迂回する。DNSトラフィックは通常信頼され、深く検査されることは稀であるため、攻撃者はこれを悪用し、通常は遮断される経路を通じてデータを外部に流出させる。
この技術は次のように機能します:
encoded-data.攻撃者ドメイン.com)検出には、DNSトラフィックの分析が必要です。
DNSトンネリングは、インターネットアクセスが制限されているがDNSポリシーが緩やかな環境において特に効果的です。セキュリティチームはDNS監視を実施し、不審なドメインへのクエリをブロックするためのDNSフィルタリングを検討すべきです。
情報漏洩に関連する主な規制には以下が含まれる:
GDPR(EU):データ侵害を認識してから72時間以内に監督当局への通知を義務付ける。罰則は最大2000万ユーロまたは全世界年間収益の4%のいずれか高い方。EU居住者の個人データが関与するデータ流出は、完全な通知要件を発生させる。
HIPAA(米国医療保険の携行性と責任に関する法律):情報漏洩通知規則では、影響を受けた個人に対し60日以内に通知することが義務付けられています。500人以上に影響する漏洩については、直ちに保健福祉省(HHS)へ通知しなければなりません。罰則は違反の責任の程度に基づき、1件あたり137ドルから68,928ドルの範囲で科されます。
NIS2(EU重要インフラ):重大なインシデント発生時には24時間以内の早期通報を義務付け、その後72時間以内に完全なインシデント報告書を提出。罰則は最大1,000万ユーロまたは全世界収益の2%のいずれか高い方。経営陣に対する責任追及を導入。
組織は、これらの通知スケジュールを考慮したインシデント対応計画を維持すべきである。検知から通知までの期間が短縮されているため、迅速な調査能力と事前に確立された連絡テンプレートが必要となる。
現代の機密流出はかつてない速さで発生している。Unit 42の2025年インシデント対応レポートによれば:
この圧縮されたタイムラインは、検知とレスポンスに重大な影響を及ぼします。長期間にわたって異常を特定する従来のアプローチでは、データ漏洩を完全に見逃す可能性があります。セキュリティチームには、進行中のデータ窃盗を識別できるリアルタイム振る舞い が必要です。
速度の優位性は、標的環境を事前にマッピング済みであるか、自動化されたツールを用いて探索と情報漏洩を行う攻撃者に有利に働く。組織は、侵害が検知された時点でデータ窃取が既に発生している可能性があると想定しなければならない。
二重恐喝は、攻撃者がデータを暗号化すると同時に、身代金が支払われない限り漏洩したデータを流出させると脅すランサムウェアの手法である。この手法は複数の圧力ポイントを提供する:
Cl0pのようなグループはさらに進化し、暗号化を完全に放棄して純粋なデータ流出型恐喝へと移行しつつある。この手法は運用上の複雑さを軽減しつつ、データ公開の脅威を通じて影響力を維持できる。
BlackFogの報告によると、2025年第3四半期のランサムウェア攻撃の96%でデータ流出が発生し、2024年第2四半期には被害者の43%が身代金を支払った(第1四半期の36%から増加)。データ流出を主目的とした攻撃への進化に伴い、セキュリティチームは暗号化に焦点を当てた指標よりもデータ窃取の検知を優先する必要がある。
IBMの「データ侵害のコストに関するレポート2024」によると:
予防投資は組織の規模や既存のセキュリティポスチャによって異なります。主なコスト項目には以下が含まれます。
予防コストは通常、侵害対応コストの数分の1に過ぎない。組織は潜在的なインシデントコストや規制罰則(GDPR下では最大2,000万ユーロまたは全世界収益の4%に達する可能性がある)と投資額を比較評価すべきである。