ビジネス情報
ビジネス情報 ブリティッシュ・エアウェイズ、BBC、ブーツなど複数の企業がデータ侵害に遭い、機密情報や個人情報が流出した。
重大なセキュリティ事件として、Ofcomが規制する複数の企業に関する機密データと412人の従業員の個人情報が大規模なハッキングでダウンロードされた。
この侵害は、British Airways、BBC、Bootsを含む複数の企業に影響を与えています。また、ロンドン交通局(TfL)も暴露を確認しました。大量の ハック は、従業員の住所や銀行口座の詳細などの機密ファイルを安全に転送するために設計された広く使用されているプラットフォームであるMOVEitソフトウェアを標的としました。
情報漏えいを発見したOfcomは、その規制下で影響を受けるすべての企業に迅速に警告を発し、データとプライバシーの監視機関である情報コミッショナー事務所(ICO)にこの問題を報告しました。幸いにも、この事件で給与データが漏洩することはありませんでした。
Ofcomは次のように述べています:「私たちが規制している特定の企業に関する限られた情報(一部は機密情報)、および412人のOfcom社員の個人データが攻撃中にダウンロードされました。私たちは、MOVEitサービスのさらなる利用を防止し、推奨されるセキュリティ対策を実施するために、直ちに行動を起こしました。また、影響を受けたOfcomの規制対象企業すべてに迅速に警告を発し、同僚へのサポートと支援を継続しています。”
また、Ofcomは、この攻撃で自社の内部システムが危険にさらされたことはないことを確認しました。
首都圏の公共交通機関を管轄するTransport for Londonは、情報漏洩への関与を確認しました。TfLは、請負業者の1社がデータ漏洩に見舞われたと説明しました。TfLは、この問題に迅速に対処し、ITシステムを保護し、漏洩したデータに銀行口座の詳細が含まれていないことを保証しました。TfLは、影響を受けるすべての関係者に通知している最中であり、ICOにも通知しています。
会計事務所 アーンストアンドヤング (EY)もハッキングの被害に遭ったことを明らかにしました。EYは、MOVEitの問題を認識した後、直ちに同ツールの使用状況について調査を開始し、潜在的に漏洩したデータを保護するための緊急措置を講じました。
同ソフトウェアを使用しているEYのシステムの大部分は影響を受けませんでしたが、同社は次のように述べています:「データがアクセスされた可能性のあるシステムについては、手動で徹底的に調査しています。私たちの優先事項は、まず影響を受けた人々や関係当局に連絡することです。我々の調査は継続中です。”
この侵害は「サプライチェーン攻撃」に分類され、米国のProgress Software社が、同社のMOVEit Transferツールの脆弱性をハッカーが悪用したと報告したことで初めて明るみに出た。このセキュリティ上の欠陥は、ハッカーによって複数の企業への不正アクセスに利用されました。興味深いことに、MOVEitを直接使用していない組織でも、サードパーティーの取り決めにより影響を受けた。
例えば、BBCは、放送局が利用している給与計算処理会社ZellisがMOVEitを採用していたため、現職と元職の両方からデータを盗まれ、侵害の被害者となった。Zellisを活用している企業は、British Airways、Aer Lingus、Bootsなど8社が影響を受けたと推定されています。さらに、その他の英国企業数十社がMOVEitを利用しているとみられています。
この侵害に関与した犯罪者は、ロシアに拠点を置くと思われる悪名高いランサムウェアグループClopに関連しています。これらのハッカーは、指定された期限までに電子メールを送信して交渉を開始しなかった企業のデータを公開するという脅迫を発している。BBCのサイバー特派員Joe Tidyは、Clopグループは脅迫を実行することで知られており、影響を受けた組織の個人データが、今後数週間のうちにこのグループのダークネットウェブサイトで公開される可能性が高いと説明しています。
Tidyはさらに、Clopのウェブサイトに表示されない被害者が、密かにグループに身代金を支払っている可能性があり、その額は数十万ドル、あるいは数百万ドル相当のビットコインになる可能性があると指摘した。しかし、被害者は支払わないことが強く推奨されます。そうすることは、これらの犯罪企業の成長を促進するだけであり、ハッカーがデータを二次攻撃に使用することを控えるという保証はありません。
この大規模なハッキングの余波は、セキュリティの強化の必要性を痛感させるものです。 サイバーセキュリティ の対策、厳格なサプライチェーンセキュリティプロトコル、迅速な対応メカニズムにより、このような侵害によって引き起こされる潜在的な損害を軽減することができます。組織は、将来の攻撃から守り、ステークホルダーの信頼を維持するために、自社のシステムと機密データの保護を優先しなければなりません。
無料 続きを読む
- ✔️ International Business Times UKの全コンテンツを無料でアンロックする。
期間限定オファー - ✔️ メルマガ購読を簡単に管理し、お気に入りの記事を保存することができます。
- ✔️ 支払い方法不要
すでにアカウントをお持ちの方 ログイン
この記事の著作権は、International Business Timesに帰属します。ビジネスニュースリーダー