個人データと組織のデータをセキュリティの脆弱性から保護する

国家サイバーセキュリティ協会常任副会長、 公安省サイバーセキュリティ局（A05）局長のグエン・ミン・チン中将は次のようにコメントしています。「ネットワークを介した個人情報や組織データの攻撃、流用、取引の状況は複雑で、急速に変化しており、サイバー攻撃を実行する際のシナリオや指示も多岐にわたります。」

ベトナムでは、2024年の最初の6か月間に、大規模組織のユーザーや顧客を狙った不正なドメイン名が2,364件発生し、2023年の同時期と比較して1.2倍増加しました。ベトナムの大規模組織のブランドを違法に使用した偽のページは496件発生し、2023年の同時期と比較して4倍増加しました。さまざまな形式のDDoS攻撃は495,000件発生しました。

3テラバイトのデータがランサムウェア攻撃を受け、被害総額は1,000万米ドルを超えると推定されています。特に、LockbitグループによるVNDirect Securities Corporationへの攻撃、およびベトナム石油公社（PVOil）、郵電保険公社（PTI）、IPA投資グループ株式会社、IPA証券投資基金管理会社（IPAAM）のウェブサイトへの攻撃は、企業に大きな損害をもたらしました。

上記の問題の主な原因の一つは、多くの組織や個人から情報やデータが漏洩する抜け穴の存在です。2024年の最初の6か月間で、情報セキュリティ局（ 情報通信省）の技術監視システムは、ベトナムの機関や組織における90,033件の脆弱性と情報セキュリティ上の脆弱性を記録しました。同局が対応を迫られた深刻なインシデントの件数は、2023年と比較して約60%増加しました。

Viettel Cyber​​ Security（VCS）は、販売対象となった約1,300万件の顧客データレコード、12.3GBのソースコード、16GBのデータを含む46件の情報漏洩を記録しました。約17,000件の新たな脆弱性が確認され、そのうち半数以上が高レベルかつ深刻な脆弱性で、71件の脆弱性はベトナムの組織や企業から漏洩した数億件のアカウントと顧客情報に関連していました。

電話番号、氏名、住所、身分証明書番号、口座番号などの個人情報が漏洩するケースは非常に多く、詐欺メッセージや偽のリンクだけでなく、様々なサービスの提供を装った電話による嫌がらせも受けています。

ハノイ市タイホー区スアンラの退職公務員グエン・ヴァン・フン氏は、株への投資や休暇旅行のバウチャー、ワインの試飲や企業からの報酬の勧誘の電話を頻繁に受けていると語った。数年前にアパートの購入取引があったが、おそらくそのせいで個人情報が漏洩したという。

情報漏洩の主な原因は、個人情報の保護を認識していない、または適切な保護対策を講じていないユーザーの不注意により、サイバースペースに個人情報を公開したり、情報の転送、保管、交換の過程で個人情報が漏洩したりすることです。

携帯電話、コンピューター、ハードドライブなどの個人情報デバイスの修理、販売、清算などのデータバックアップにおける通常の活動では、ユーザーがデータを慎重に削除したとしても、漏洩の潜在的なリスクが依然として存在します。

組織や企業にとって、これはシステム、アプリケーション、ソフトウェアの抜け穴、ネットワーク環境における規制遵守や情報規律の緩み、顧客情報セキュリティポリシーの抜け穴などが原因です。中には、様々な不正な目的で意図的に顧客情報を第三者に提供する企業さえあります。

公安省は、インターネット上の詐欺には主に3つのグループ、すなわちブランド偽造、アカウント乗っ取り、そしてその他24種類の詐欺の組み合わせがあると警告しています。サイバーセキュリティ専門家のNgo Minh Hieu氏（Hieu PC）は、情報漏洩の主な原因は、知識不足、データ保護のための対策と手順の欠如、そして情報の収集、処理、保管、そして悪用における管理の不備にあると指摘しています。

ソフトウェアとテクノロジーを専門とするIGB Joint Stock Companyの取締役会長、Vu Xuan Nguyen氏によると、情報漏洩を防ぐために、企業は次のような対策を講じる必要があります。多要素認証（MFA）とアクセス管理により、許可された人物のみが機密情報にアクセスできるようにします。保管中と転送中の両方でデータを暗号化します。エンドツーエンドの暗号化により、指定された受信者のみが情報を復号化して読み取ることができます。侵入検知システム（IDS）や侵入防止システム（IPS）などのテクノロジーを使用して、侵入を継続的に監視し、早期に検出します。フィッシング識別（電子メール詐欺）、基本的なセキュリティスキル、情報処理手順に関する従業員のセキュリティスキルをトレーニングして向上させ、人的要因による漏洩のリスクを軽減します。

特に、セキュリティインシデントやデータ損失が発生した場合に備えて、データは定期的にバックアップする必要があります。IGBは、すべてのオンライン接続にSSL/TLS暗号化を使用し、国際セキュリティ規格ISO/IEC 2700Iを適用しています。

全米サイバーセキュリティ協会は、サイバーセキュリティ情報を接続して共有するためのプラットフォームの構築を提案しました。これにより、組織はインシデントに積極的に対応し、新たな犯罪攻撃ツールや手法を監視し、脅威の早期警告を提供し、戦略的な意思決定をサポートし、組織がデジタル資産を保護し、データの安全性とセキュリティを維持できるようになります。

同協会はまた、スマートフォン向けの無料不正防止アプリケーション「nTrust」をリリースしました。このアプリケーションは、電話番号、口座番号、ウェブサイトのリンク、QRコードをチェックすることで不正の兆候を検知するのに役立ちます。nTrustソフトウェアには、公安省、情報通信省、ベトナム国家銀行、そして同協会のサイバーセキュリティ加盟組織のデータソースから収集された100万件以上の検証済み記録が蓄積されています。

10月8日、協会はVnDPO個人データ保護専門家養成プログラムを正式に開始しました。受講者は集中的なトレーニングを受け、プログラム全体の60%を実習に充てます。情報通信省情報セキュリティ局は、国家悪質ドメイン名警告・防止システムを通じて、2024年6月までに3,170件のオンライン詐欺ウェブサイトをブロックし、1,000万人以上の人々を詐欺や違法ウェブサイトから保護しました。