ジャーナリストは常に標的にされてきました。彼らは権力者を調査し、機密情報源を保護し、不都合な真実を公表します。今日、彼らが直面する脅威は進化しており、政治的圧力や監視は権威主義体制だけでなく、後退しつつある自由民主主義国からももたらされています。悪意のあるアクターは、ハッキングやデータ侵害を利用して業務を妨害し、告発者に対して報復し、最終的には彼らの編集上の独立性を侵害する可能性があります。
今日のメディアが直面しているリスクをより深く理解するため、Protonは、ハッカーが盗み出したデータベースを取引するダークウェブのマーケットプレイスを分析し、メディア企業がデジタル上の脆弱性にどの程度さらされているかを調査しました。弊社は米国メディアの大手3社(The New York Times、The Washington Post、The Wall Street Journal)を選定し、これらの組織およびその従業員に関連する情報漏洩のスキャンを行いました。
弊社の調査により、ダークウェブに流出した116,000件以上の情報が、The New York Times、The Washington Post、およびThe Wall Street Journalに関連するメールアドレスに紐付いていることが判明しました。弊社が発見した流出データの量 — 多くの場合、複数の情報源から漏洩したもの — は、これらの企業を標的型サイバー攻撃、脅迫、またはソーシャルエンジニアリングの重大なリスクにさらしています。
漏洩した情報には、12,000件以上のプレーンテキストのパスワードと、61,000件以上の個人を特定できる情報が含まれており、記者とその情報源が直面しているサイバーセキュリティリスクの莫大な規模を明らかにしています。
リスクに直面しているのはメディアだけではありません。Protonによる過去の調査では、ダークウェブ上で数千件に及ぶ政治家の漏洩したメールとパスワードが発見されており、これは個人のプライバシーにおける脆弱性だけでなく、国家安全保障に対する潜在的な脅威をも表しています。
これらの漏洩は、The New York Times、The Washington Post、またはThe Wall Street Journalが何らかのサイバー攻撃を受けたことを証明するものではない点に注意することが重要です。通常、こうした漏洩は、データ侵害を受け顧客データが流出した、小売業者やソフトウェアプロバイダーなどのサードパーティの情報源からのものです。しかし、これらの漏洩が存在することにより、メディア企業は標的型のハッキング、データ侵害、脅迫、ソーシャルエンジニアリングにさらされることになります。
米国メディアにおけるデータ漏洩の規模
Protonの調査チームは、Constella Intelligence(新しいウィンドウ)と共同で、従業員の仕事用および個人用のアカウント、問い合わせフォーム、チームのメールボックスを含む、35,000件以上の個人のメールアドレスに関連する116,000件以上のダークウェブへの流出を特定しました。
責任ある開示の原則に則り、弊社はすでに各出版社に対して、調査結果の詳細を提供し、適切な対応をとるための時間を設けて通知を済ませています。
わずか3社のメディア企業からこれほど大量の情報が流出したことは、メディア業界におけるデータ侵害の規模がいかに巨大である可能性を示しています。
なぜこのようなことが起こるのでしょうか?
ここでは、記者やその所属組織が責められるべきではありません。これは、お客様を含む、インターネットを利用するすべての人に影響を与える構造的な問題です。
誰かがLinkedIn、Adobe、Dropboxなどのサードパーティサービスに登録するために、氏名、メールアドレス、または生年月日を使用するたびに、その個人情報の一部を該当企業に預けることになります。これらのサードパーティプラットフォームが侵害された場合(そして侵害は絶えず発生しています)、登録したすべての人の認証情報と個人データがダークウェブに流出する可能性があります。多くの場合、これらの漏洩にはパスワードも含まれており、被害者が同じパスワードを複数の場所で使い回している場合、より広範なサイバーセキュリティリスクが生じます。弊社では、定期的に一般的な調査結果をデータ侵害オブザーバトリーで公開しています。
Protonでは、データ侵害の影響を特定して軽減するために特別に開発されたツールを提供しています。Pass MonitorはProton Passに含まれており、弊社のビジネス向けパスワードマネージャーや、より広範なビジネスツールのスイートを利用している企業は、堅牢なアカウントセキュリティ防御の恩恵を受けることができます。
米国の報道の自由に対する脅威
中国、イラン、サウジアラビアなど、報道の自由が最も深刻に脅かされている地域では、ジャーナリストへの攻撃が政治的圧力にとどまることはめったにありません。それは監視、ソーシャルエンジニアリング、脅迫、威嚇にまで及びます。侵害された認証情報は、従来のサイバー犯罪のツールであると同時に、権威主義的統制のツールでもあります。
米国もこの動向の例外ではなく、世界報道自由度ランキング(新しいウィンドウ)で64位に位置しています。米国のジャーナリストは、法的高まりや政治的圧力に直面しており、彼らが直面するセキュリティリスクは決して仮定の話ではありません。漏洩したパスワードは、情報源のユーザー情報が特定される可能性があるメールアカウント、社内システム、コミュニケーションプラットフォームへの扉を開いてしまいます。PIIは、記者を黙らせたり信用を失墜させたりすることを目的とした、脅迫や標的型のハラスメントキャンペーンの機会を作り出します。
弊社のデータセットに含まれる2,500件以上のメールアドレスが、10回以上流出しています。これは、一部の個人が持続的に脆弱な状態にあり、その情報がダークウェブのマーケットやフォーラムで繰り返し流通していることを意味します。
安全を維持するために個人および組織ができること
弊社が特定した情報流出は、サードパーティのデータ侵害による二次的な結果であり、個々のジャーナリストや編集部の管理の及ばないところです。しかし、侵害が発生した際に流出を減らし、被害を制限するために、組織や個人が取ることができる有意義な対策があります。
組織向け:
- 認証情報が不正利用される前に、露出した認証情報を特定するため、定期的なダークウェブモニタリングを実施する
- 外部サービスの登録にビジネス用メールアドレスを使用することに関する厳格なポリシーを策定する
- 単一のエンタープライズ向けパスワードマネージャーを通じてアカウント管理を一元化し、専用IPでネットワークアクセスを管理する
- ジャーナリストが直面する特定の脅脅モデル(標準的な企業のビジネスリスクとは異なるもの)を反映したセキュリティトレーニングを提供する
個人向け:
- すべてのアカウントに対して、一意で強固なパスワードを使用する
- サードパーティのサービスに登録する際は、メールエイリアスを使用し、1つのサービスで侵害が発生してもプライマリーアドレスが全面的に流出しないようにする
- 可能な限り、2要素認証を有効にする
- お客様の仕事用メールアドレスを、機密性の高いインフラとして扱う(実際に重要なインフラであるため)
ダークウェブは容赦しません。侵害されたサービスに自身のデータが通過した人は誰でも、流出の危険にさらされる可能性があります。適切なアカウント衛生管理は、最初にして最も重要な防御策であり、それを実践するためのツールはかつてないほど利用しやすくなっています。
お客様のメディア組織がProtonのセキュリティソリューションについてより詳しくお知りになりたい場合は、報道機関向けの割引についてご確認ください。
