Distributed denial of service (DDoS attack)
分散型サービス妨害攻撃（DDoS攻撃）

Cybercriminals flood a target website or network with requests until its resources become unavailable to legitimate users, resulting in a denial of service. Although it is not a data breach in itself, a DDoS attack can be used to divert the attention of IT or security staff while malware is installed.
サイバー犯罪者は、正当なユーザーがそのリソースを利用できなくなるまで、ターゲットのWebサイトまたはネットワークにリクエストを殺到し、サービス拒否を引き起こします。それ自体はデータ漏洩ではありませんが、マルウェアのインストール中にDDoS攻撃を使用して、ITスタッフやセキュリティスタッフの注意をそらすことができます。

Ransomware
ランサムウェア（身代金を要求するマルウェア）

A form of malicious software (malware), ransomware allows cybercriminals to encrypt data on the target network and demand a ransom payment to restore it. In the event of a data breach, this may be combined with the attacker viewing, copying, or exporting data from the network before encrypting it and threatening a data leak if the ransom is not paid. However, it’s important to note that payment does not guarantee the safe return of data.
悪意のあるソフトウェア（マルウェア）の一種であるランサムウェアを使用すると、サイバー犯罪者はターゲットネットワーク上のデータを暗号化し、それを復元するために身代金の支払いを要求できます。データ漏洩が発生した場合、これは、攻撃者がネットワークからデータを表示、コピー、またはエクスポートしてから暗号化し、身代金が支払われない場合にデータ漏洩を脅かす可能性があります。ただし、支払いはデータの安全な返却を保証するものではないことに注意することが重要です。

SQL injection
SQLインジェクション（SQLに別のSQL分を注入）

Many web applications use SQL databases to store important data and sensitive information, such as customers’ usernames, passwords, and credit card details. In an SQL injection attack, cybercriminals exploit security flaws to manipulate the queries an application makes to its database, allowing them to access, modify, or delete data.
多くのWebアプリケーションは、SQLデータベースを使用して、顧客のユーザー名、パスワード、クレジットカードの詳細などの重要なデータや機密情報を保存します。 SQLインジェクション攻撃では、サイバー犯罪者は、セキュリティ上の欠陥を悪用して、アプリケーションがデータベースに対して行うクエリを操作し、データへのアクセス、変更、または削除を可能にします。

Phishing
フィッシング（詐欺）

（fishing, phreaking, sophisticated 等に由来した合成語？）

A cybercriminal may contact a victim by email, phone, or text message pretending to be a trusted contact. The attacker then convinces the victim to download malware or a virus – often by opening an attachment or clicking a link – or they may fool them into handing over data directly.
サイバー犯罪者は、信頼できる連絡先を装って、電子メール、電話、またはテキストメッセージで被害者に連絡する場合があります。次に、攻撃者は被害者にマルウェアやウイルスをダウンロードするように説得します（多くの場合、添付ファイルを開いたり、リンクをクリックしたりします）。そうしないと、被害者をだましてデータを直接渡す可能性があります。

Criminal insider
犯罪者のインサイダー

A criminal insider is someone – often an employee or contractor who may or may not have legitimate authority to access sensitive information – who abuses their position in order to leak data. Their motivation is usually personal profit or to cause harm to the organization.
犯罪者のインサイダーとは、機密情報にアクセスする正当な権限を持っているかどうかにかかわらず、データを漏らすために自分の立場を悪用する人（多くの場合、従業員または請負業者）です。彼らの動機は通常、個人的な利益であるか、組織に害を及ぼすことです。

Accidental insider
偶然のインサイダー

Conversely, an accidental insider is someone who unintentionally causes a cybersecurity breach, such as falling victim to a phishing attack, using an unauthorized personal device, or through poor password management. Employees who have not had basic cybersecurity training are a vulnerability to their employer.
逆に、偶発的なインサイダーとは、フィッシング攻撃の犠牲になったり、不正な個人用デバイスを使用したり、パスワード管理が不十分だったりするなど、意図せずにサイバーセキュリティ違反を引き起こした人物です。基本的なサイバーセキュリティトレーニングを受けていない従業員は、雇用主にとって脆弱です。

Physical theft or loss
物理的な盗難または紛失

Any physical device, such as an unsecured laptop, hard drive, mobile phone, or USB containing sensitive information that is lost or stolen could put your business at risk.
安全でないラップトップ、ハードドライブ、携帯電話、USBなど、紛失または盗難にあった機密情報を含む物理デバイスは、ビジネスを危険にさらす可能性があります。

Examples of data breaches
データ漏えいの例

It may seem like large companies are the main targets of data breaches, possibly because they make headlines when it happens, but small businesses and individuals are equally at risk. The following data breach examples highlight just how much damage they can cause.
大企業がデータ漏えいの主な標的であるように思われるかもしれませんが、それはおそらくそれが起こったときに話題になるためですが、中小企業と個人は等しくリスクにさらされています。次のデータ漏洩の例は、それらが引き起こす可能性のある損害の大きさを示しています。

Cam4
カム4

In early 2020, Cam4, a small business that provides an adult streaming service, became the victim of one of the largest data breaches ever recorded. A misconfigured database allowed the release of 10.88 billion user records. The data stolen included customers’ personally identifiable information (PII) such as names, email addresses, and chat transcripts.
2020年の初めに、アダルトストリーミングサービスを提供する中小企業であるCam4は、これまでに記録された最大のデータ漏洩の1つの犠牲者になりました。誤って構成されたデータベースにより、108億8000万のユーザーレコードがリリースされました。盗まれたデータには、名前、電子メールアドレス、チャットの記録など、顧客の個人情報（PII）が含まれていました。

Yahoo

The popular email service, Yahoo, disclosed two data breaches in 2016, which affected all three billion of its user accounts.
人気のある電子メールサービスであるYahooは、2016年に2つのデータ漏洩を開示しました。これは、30億のユーザーアカウントすべてに影響を及ぼしました。

The first attack was initiated by a phishing email. Attackers were able to access the names, email addresses, passwords, dates of birth, and telephone numbers of users. The breaches wiped an estimated $350 million off the company’s market value, and several shareholders filed lawsuits following the disclosures.
最初の攻撃はフィッシングメールによって開始されました。攻撃者は、ユーザーの名前、電子メールアドレス、パスワード、生年月日、および電話番号にアクセスすることができました。違反は会社の市場価値から推定3億5000万ドルを一掃し、いくつかの株主は開示に続いて訴訟を起こした。

Equifax

The Equifax breach was entirely preventable. In 2017, hackers exploited an unpatched – but known – vulnerability in a system used to build the credit reporting agency’s web application.
エクイファックス漏洩が完全に予防可能でした。2017年、ハッカーは、信用報告機関のWebアプリケーションの構築に使用されたシステムのパッチが適用されていないが既知の脆弱性を悪用しました。

The data of more than 143 million individuals was compromised, including names, addresses, dates of birth, and even driving license information. The company reported that the breach cost $1.4 billion. Surprisingly, no fraud or identity theft cases have been connected with the incident.
名前、住所、生年月日、さらには運転免許証情報など、1億4300万人を超える個人のデータが危険にさらされました。同社は、違反の費用は14億ドルであると報告しました。驚いたことに、この事件に関連した詐欺や個人情報の盗難事件はありませんでした。

What are the laws around data breaches?
データ漏洩に関する法律はありますか？

Data privacy is covered by various laws and regulations around the world, and depending on where you or your customers are located, they may be different. If your business is a victim of a data breach, there are certain steps you must follow, so it’s important to know what is required of you. This will be affected by:
データのプライバシーは世界中のさまざまな法律や規制の対象となっており、あなたやあなたの顧客がどこにいるかによって、それらは異なる場合があります。あなたのビジネスがデータ漏洩の犠牲者である場合、あなたが従わなければならない特定のステップがあるので、あなたに何が必要かを知ることは重要です。これは次の影響を受けます：

• Where you do business
  あなたがビジネスをしている場所

• Where you store personally identifiable information (PII)
  個人を特定できる情報（PII）を保存する場所

• What type of PII your company maintains
  あなたの会社が維持しているPIIの種類

• Where the individual data subjects of the PII reside
  PIIの個々のデータ主体が存在する場所

The General Data Protection Regulation (GDPR)
一般データ保護規則（GDPR）

Widely considered the world’s strongest set of rules governing data protection, GDPR was put into force by the European Parliament in May 2018. Here is a brief overview of the requirements relating to data breaches:
データ保護を管理する世界最強の一連のルールと広く見なされているGDPRは、2018年5月に欧州議会によって施行されました。データ漏洩に関連する要件の概要は次のとおりです。

• Personal data must be protected against "unauthorized or unlawful processing”.
  個人データは、「不正または違法な処理」から保護する必要があります。

• You must report to a country’s data protection regulator the "destruction, loss, alteration, unauthorized disclosure of, or access to" people’s data where it could have a detrimental impact on the data subjects.
  データ主体に悪影響を与える可能性のある人々のデータの「破壊、損失、改ざん、不正開示、またはアクセス」を国のデータ保護規制当局に報告する必要があります。

• In the UK, a breach must be reported to the ICO within 72 hours of discovery.
  英国では、違反は発見から72時間以内にICOに報告する必要があります。

• If a breach puts individuals at risk, you must inform them, too. This should be done as soon as possible.
  違反によって個人が危険にさらされる場合は、個人にも通知する必要があります。これはできるだけ早く行う必要があります。

• Even if a data breach does not require notification, you must still keep a record of it.
  データ漏えいが通知を必要としない場合でも、それを記録しておく必要があります。

Regulations in the US
米国の規制

While the US doesn’t have a federal law governing notification following a data breach, certain states have their own data privacy laws, and you will need to be aware of the provisions for each. Well-known US regulations include the California Consumer Privacy Act (CCPA) and the Health Insurance Portability and Accountability Act (HIPAA).
米国にはデータ漏洩後の通知を管理する連邦法がありませんが、特定の州には独自のデータプライバシー法があり、それぞれの規定に注意する必要があります。よく知られている米国の規制には、カリフォルニア消費者プライバシー法（CCPA）および医療保険の相互運用性と説明責任に関する法律（HIPAA）が含まれます。

What should I do if my data is stolen?
データが盗まれた場合はどうすればよいですか？

If you’re unlucky enough to be on the receiving end of a data breach disclosure, there are several things you can do to improve your security:
情報漏えいの開示の受信側にいるほど運が悪ければ、セキュリティを向上させるためにできることがいくつかあります。

• Change your passwords on all accounts. Whether an account was affected by the breach or not, it’s wise to change all of your passwords. Choose long, complex passwords and activate two-factor authentication (2FA) where possible.
  すべてのアカウントのパスワードを変更します。 アカウントが違反の影響を受けたかどうかに関係なく、すべてのパスワードを変更することをお勧めします。長くて複雑なパスワードを選択し、可能な場合は2要素認証（2FA）をアクティブにします。

• Contact your bank or other financial institutions. Let them know that you’ve been the subject of a data breach, and ask them to check for any fraudulent activity. Request fraud alerts and consider changing your account details or replacing cards.
  銀行または他の金融機関に連絡してください。 あなたがデータ漏洩の対象になっていることを彼らに知らせ、不正行為がないか確認するように依頼します。詐欺の警告をリクエストし、アカウントの詳細を変更するか、カードを交換することを検討してください。

• Update your software. Install any pending updates to shore up potential vulnerabilities.
  ソフトウェアを更新します。 潜在的な脆弱性を強化するために、保留中の更新をインストールします。 積極的に。潜在的な脅威について学び、疑わしい活動の兆候を見つける方法を知っていることを確認してください。今後のデータの問題に注意してください。

• Be proactive. Learn about potential threats and make sure you know how to spot signs of suspicious activity. Stay alert for any future data issues.
  積極的に。 潜在的な脅威について学び、疑わしい活動の兆候を見つける方法を知っていることを確認してください。今後のデータの問題に注意してください。

How to prevent a data breach
データ漏えいを防ぐ方法

In 2020, the average cost per lost or stolen record in a data breach was $146, so the impact of a significant breach could be devastating, particularly for a small business. Fortunately, there is plenty you can do to make it harder for cybercriminals to infiltrate your systems and get their hands on your data.
2020年には、データ漏えいでのレコードの紛失または盗難あたりの平均コストは146ドルでした。そのため、特に中小企業にとって、重大な漏えいの影響は壊滅的なものになる可能性があります。幸いなことに、サイバー犯罪者がシステムに侵入してデータを入手するのを困難にするためにできることはたくさんあります。

Follow the steps below to ensure that you have a solid security foundation in place:
以下の手順に従って、強固なセキュリティ基盤が整っていることを確認してください。

1. Take care of the basics
1. 基本に注意してください

• Install firewalls. The first line of defense in protecting your network, a firewall will prevent any unauthorized traffic or malicious software from entering your network.
  ファイアウォールをインストールします。 ネットワークを保護するための最前線であるファイアウォールは、不正なトラフィックや悪意のあるソフトウェアがネットワークに侵入するのを防ぎます。

• Install antivirus. A comprehensive business antivirus solution will proactively block, detect and remove threats like malware, and should also provide anti-phishing protection.
  アンチウイルスをインストールします。 包括的なビジネスウイルス対策ソリューションは、マルウェアなどの脅威をプロアクティブにブロック、検出、削除し、フィッシング対策も提供する必要があります。

• Install encryption software. Protect sensitive information by making it unreadable to unauthorized users.
  暗号化ソフトウェアをインストールします。 機密情報を許可されていないユーザーが読み取れないようにすることで、機密情報を保護します。

• Use a VPN or Zero Trust Network. Only send data via secured channels to avoid being intercepted by an unauthorized person.
  VPNまたはゼロトラストネットワークを使用します。 権限のない人に傍受されないように、セキュリティで保護されたチャネルを介してのみデータを送信してください。

• Use strong passwords. Require the use of complex and unique passwords for every user account and enforce regular password changes.
  強力なパスワードを使用してください。 すべてのユーザーアカウントに複雑で一意のパスワードの使用を要求し、定期的なパスワード変更を実施します。

2. Promote employee awareness
2. 従業員の意識を高める

• Educate employees. Highlight the importance of cybersecurity and train employees to recognize cybersecurity threats and take appropriate action.
  従業員を教育します。 サイバーセキュリティの重要性を強調し、サイバーセキュリティの脅威を認識して適切な行動を取るように従業員を訓練します。

• Communicate. Regularly remind employees of the dangers of clicking on links or attachments in emails from unfamiliar senders.
  コミュニケーションする。 見知らぬ送信者からの電子メール内のリンクまたは添付ファイルをクリックすることの危険性を従業員に定期的に思い出させます。

• Encourage accountability. Make sure every staff member is aware of their personal roles and responsibilities in protecting the company’s data.
  説明責任を奨励する。 すべてのスタッフが、会社のデータを保護する上での個人的な役割と責任を認識していることを確認してください。

3. Update your starters and leavers process
3. スターターとリーバーのプロセスを更新します

• Set up new starters. Identify the specific data, devices, and access privileges new starters need.
  新しいスターターを設定します。 新しい初心者が必要とする特定のデータ、デバイス、およびアクセス権限を特定します。

• Process leavers. Adopt a controlled exit policy for leavers, including prompt group password resetting.
  脱退者を処理します。 グループパスワードの迅速なリセットなど、脱退者には管理された終了ポリシーを採用します。

• Review returned devices. Wipe or securely destroy data where necessary.
  返品されたデバイスを確認します。 必要に応じて、データをワイプまたは安全に破棄します。

4. Manage ongoing maintenance and planning
4. 継続的なメンテナンスと計画を管理します

• Stay up to date. Scan your network and devices frequently and check for necessary upgrades. Install any updates or patches from trusted software providers as soon as possible. Consider using software that can automate this process or alert you to anything that needs attention.
  最新に保つ。 ネットワークとデバイスを頻繁にスキャンし、必要なアップグレードを確認します。信頼できるソフトウェアプロバイダーからの更新またはパッチをできるだけ早くインストールしてください。このプロセスを自動化できるソフトウェアの使用を検討するか、注意が必要なことを警告してください。

• Prepare. Create an Emergency Response Plan that outlines how to handle a breach, theft, or loss of data.
  準備します。 データの漏洩、盗難、または損失を処理する方法の概要を示す緊急対応計画を作成します。

• Make copies. Regularly back up your data so you can easily restore it if the worst happens.
  コピーを作成します。 最悪の事態が発生した場合に簡単に復元できるように、定期的にデータをバックアップしてください。

Which vulnerabilities could result in a data breach?
どの脆弱性がデータ漏洩につながる可能性がありますか？

While cybercriminals are continuously devising new ways to detect and exploit business vulnerabilities, some security weaknesses can be easily prevented by implementing best practices. Here are some of the most common vulnerabilities and what to do about them.
サイバー犯罪者はビジネスの脆弱性を検出して悪用する新しい方法を絶えず考案していますが、いくつかのセキュリティの弱点は、ベストプラクティスを実装することで簡単に防ぐことができます。最も一般的な脆弱性のいくつかとそれらの対処法を以下に示します。

Weak or stolen passwords
パスワードが弱い、または盗まれた

Weak credentials are an easy win for cybercriminals. Create a requirement for employees to use unique, complex passwords for every account, and use two-factor authentication (2FA) on sensitive accounts.
弱い資格情報はサイバー犯罪者にとって簡単な勝利です。従業員がすべてのアカウントに一意の複雑なパスワードを使用し、機密性の高いアカウントで2要素認証（2FA）を使用するための要件を作成します。

Unsecure mobile devices
安全でないモバイルデバイス

If your employees use their personal devices for work – which they often do – you have far less control over security standards, such as passwords, who else has access to the device, and use of public Wi-Fi. Implement a bring your own device (BYOD) policy that sets out clear expectations for each employee, and spend some time on training to highlight the potential threats.
従業員が自分の個人用デバイスを仕事に使用する場合（よくあることですが）、パスワード、デバイスにアクセスできる他のユーザー、パブリックWi-Fiの使用などのセキュリティ標準を制御することははるかに困難です。各従業員に明確な期待を設定するBYOD（Bring Your Own Device）ポリシーを実装し、潜在的な脅威を強調するためのトレーニングに時間を費やします。

Outdated security
時代遅れのセキュリティ

If you are running software that has an update or patch available but not installed, you are exposing your business to risk. Ensure that all software is fully patched and updated.
アップデートまたはパッチが利用可能であるがインストールされていないソフトウェアを実行している場合、ビジネスをリスクにさらしていることになります。すべてのソフトウェアに完全にパッチが適用され、更新されていることを確認します。

Protect against data breaches with a layered antivirus solution
階層化されたウイルス対策ソリューションでデータ漏洩から保護します

The most effective way to safeguard your business is to follow best practices and use a wide range of security tools to build multiple layers of protection. Avast Business offers cybersecurity solutions that defend your business against data breaches using a combination of next-gen endpoint protection and cloud-based network security solutions. Keep your data in the right hands.
ビジネスを保護するための最も効果的な方法は、ベストプラクティスに従い、さまざまなセキュリティツールを使用して複数の保護層を構築することです。アバストビジネスは、次世代のエンドポイント保護とクラウドベースのネットワークセキュリティソリューションの組み合わせを使用して、データ漏洩からビジネスを守るサイバーセキュリティソリューションを提供します。データを適切に保管してください。