サイバー攻撃を受けても公表したがらない組織は少なくないが、プライバシー重視のテクノロジー企業 Proton の新サービスが、本来なら隠されたままになっていたかもしれない大規模侵害に光を当てる。
木曜日(編集部註:2025 年 10 月 30 日)に開始された Proton の「Data Breach Observatory」は、規制当局に報告されない侵害や、被害組織自身が公表していない侵害の詳細をダークウェブから収集することを目的としている。
Proton は発表の中で、Data Breach Observatory が 2025 年の年初から現在までのインシデントをまとめて公開し、794 件の攻撃で 3 億件の個人記録を特定したと述べている。
ここから除外されているのは、インフォスティーラー(情報窃取型マルウェア)が収集したデータの一括放出に関連する数字だ。これらは往々にして大きな数字になり、強い関心を集める見出しになりうるが、実際には重複していたり、古かったり、ありふれたデータであることが多いからである。
Data Breach Observatory は、このような集約されたケースではなく、単一の企業や組織を標的とした攻撃のみを取り上げる。この除外がなければ、収集されるインシデント数はほぼ 2 倍になり、影響を受けたレコード数は数千億件に達していただろうと Proton は述べている。
スイスのプライバシー企業である Proton は、データ侵害に関する透明性が不足していると指摘する。また、認証情報や機密性の高い個人情報など、盗まれた情報に対するダークウェブ上の市場が拡大を続けているという。
今年これまでに調査された 794 件のケースのうち、49 %で漏洩したデータにパスワードが含まれており、政府サービスや医療に関連する記録などの機密情報は 3 分の 1 以上( 34 % )で見つかっている。
Protonは、Data Breach Observatory をほぼリアルタイムで更新し、ダークウェブ上で発見した攻撃について、もし同サービスがなかったら明るみに出なかった侵害を公表することを目指している。
この新サービスは、透明性を高めるべき時に口を閉ざしている組織を非難するためだけに立ち上げられたわけではない。Proton は Observatory によって、データ侵害に最も脆弱である中小企業が危険性をより認識し、それによって間接的にセキュリティ強化につながると考えている。
