中米エクアドル最大の銀行であるバンコピチャがサイバー攻撃を受けてATMを一時的に停止しただけでなく、オンラインバンキングにも影響が出た様です。

www.bleepingcomputer.com

エクアドル最大のプライベートバンクであるBancoPichinchaは、サイバー攻撃に見舞われ、業務が中断され、ATMとオンラインバンキングポータルがオフラインになりました。

サイバー攻撃は週末に発生し、銀行はネットワークの一部をシャットダウンして、攻撃が他のシステムに広がるのを防ぎました。

システムのシャットダウンにより、銀行は広範囲に混乱し、ATMが機能しなくなり、オンラインバンキングポータルにメンテナンスメッセージが表示されました。

銀行の代理店に送信され、BleepingComputerによって表示される内部通知では、テクノロジーの問題により、銀行のアプリケーション、電子メール、デジタルチャネル、およびセルフサービスが機能しなくなることが従業員に通知されます。

内部文書はさらに、セルフサービスの顧客は、停止中に提供される銀行の出納係の窓口に誘導されるべきであると述べています。

銀行の技術的な問題に関する2日間の沈黙の後、Banco Pichinchaは火曜日の午後、システムの混乱につながるサイバー攻撃を受けたことを認める声明を発表しました。 

キタきつねの所感

バンコピチャはエクアドル最大の民間銀行で、Wikiによれば180万人の顧客と国内200支店を持っています。

遠い異国のサイバーインシデントではありますが、ATMとオンラインバンキングの両方が止まり、銀行内のネットワークにも多大な影響が出たという銀行のインシデントを過去に聞いた事が無かったので取り上げます。

現在もバンコピチャのWebサイトはオフラインのままです。

※スペイン語で「現在、ポータルwww.pichincha.comはメンテナンス中です」と表示されますが、オンラインバンキングへのログイン画面は出てくるので、どうやら利用可能になっている様です。

Bleeping Computer記事の追記部分にATMが稼働した旨が書かれていましたが、Webサイトは10/11から3日オフラインになったままである事を考えると、かなりの被害が出ている事が推測されます。

日本国内では”まだ”多要素認証（MFA）の導入がサイバー保険加入に大きく影響する事は無いかと思いますが、米国では一足先に”必須化”に向かっている様です。

www.infosecurity-magazine.com

新しいレポートによると、米国のサイバー保険会社は、補償範囲の前提条件としてより厳格なセキュリティ管理を義務付けているにもかかわらず、保険料を引き上げ、補償範囲の制限を引き下げています。

米国のサイバー市場の見通し 卸売保険ブローカーリスクの配置サービスからは、プロバイダは、より高い予想よりも、最近の損失によって「連打」されており、現在は一般的にはあまり報道のためにはるかに充電されていると警告しています。

「過去1年間、COVID-19のパンデミックの課題と、ランサムウェア攻撃の頻度と深刻さが米国のサイバー責任市場に圧力をかけているのを見てきました」と、RPSの全国サイバープラクティスリーダーであるスティーブロビンソンは述べています。

「この市場のダイナミクスは急速に発展しましたが、数か月以内に、この市場での長年の引受問題、およびエクスポージャーと引受のミスマッチが拡大していたことが、現在の状況とカバレッジの需要と供給の不均衡を生み出すのに役立ちました。」 

教育、政府、医療、建設、製造などのセクターは、過去1年間に大きな打撃を受け、更新時に保険料が300％以上増加しました。これは、企業の保険契約者が適切なセキュリティ管理策を講じている場合でも同様です。

RPSによると、このような制御はますます普及しつつあります。多要素認証（MFA）は、カバレッジの対象となるためにも「必須」として説明されるようになりました。

元ソース

・U.S. Cyber Market Outlook (Risk Placement Services)

キタきつねの所感

このブログでは何度かサイバー保険の記事を書いていますので、既に”聞き飽きた”方もいらっしゃるかも知れません

記事を書いていた当時の”予想”は比較的当たっていた様で、世界的なサイバー保険加入条件はより厳しくなる方向に向かっており、その影響はすぐに日本にも及ぶものと予想されます。

記事を書いてた頃にも”危なさ”は認識していたつもりですが、正直に言えば、海外状況は、思っていたよりも早いペースで変化しています。

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

更新履歴

• 2021年10月11日 AM（予約投稿）

米国でテレビやラジオ局を多数傘下に収めるCoxMedia Group（CMG）が今年6月にサイバー攻撃を受けて生放送等に影響が出た件で、4か月経過して攻撃が「ランサム」であった事が発表されました。

therecord.media

公式発表（カリフォルニア州）

・NOTICE OF DATA BREACH (10/8)

キタきつねの所感

CMGは米国アトランタに本拠を置くメディアコングロマリット企業です。このグループへのサイバー攻撃は今年の6月に発生し、放映に影響が出た事から当時大きく取り上げられ、ランサムの可能性も指摘されていましたが、約4か月経過してサイバー攻撃がランサムウェアによるものだったと公表しました。

edition.cnn.com

当時の影響について、CNNの記事では以下の様に書いています。

2つのステーションの従業員によると、デジタルビデオライブラリへのアクセスを含め、今週はまだ複数のシステムがダウンしています。気象コンピュータも少なくとも2つのステーションで機能していませんでした。
一部の駅員はCNNに、まだ電子メールを回復しておらず、回避策に取り組んでいると語っています。ステーションはスタッフに電話でメールを開かないように求めています。ある従業員によると、水曜日のあるステーションでは、電話回線や放送ソフトウェアの障害など、新たな問題が発生していました。
コックスメディアグループとその親会社は、攻撃について公にコメントしておらず、企業からスタッフへの公式声明もありません。

（CNN記事より引用）※機械翻訳

これがランサムウェア攻撃では無かったとしても、メディアとしての根幹機能が一時的に全て麻痺する程のサイバー攻撃だった事が想像されます。

別な記事では攻撃の影響が広範囲に渡っていた事が書かれています。

www.insideradio.com

Cox Media Groupは、木曜日の朝、ラジオとテレビ局のストリームをオフラインにするランサムウェア攻撃に苦しんでいたと伝えられています。複数の報告によると、コンピューターがハッキングされ、内部ネットワークやその他の操作に影響を与えました。報道によると、放送局のWebサイトとほとんどの番組は無傷のままでしたが、この事件により一部のライブ番組がスクラブされ、一部のテレビ局はニュース放送をキャンセルしなければなりませんでした。

（中略）

サイバーセキュリティを扱ったTheRecord by Recorded Futureによると、木曜日のプライベートな会話で、コックスの従業員は「今朝、すべてをシャットダウンし、メールをログアウトして、何も広がらないようにするように言われました」と語った。「系列局の友人によると、安全のために時間内に物事をシャットダウンし、すぐに復旧して実行する必要があります。」

（InsideRadio記事より引用）※機械翻訳

しかし、CMGの公式リリースページ、あるいは公式Twitterには事件の事を彷彿とさせる内容は確認できず、今回のCA州に提出されたNOTICE OF DATA BREACH（影響を受けた個人宛のサンプルレター）が出された事に関する記載も見当たりませんでした。

Our News – Cox Media Group

Cox Media Group (@COXMG) | Twitter

もしかすると別な所に情報が掲載されていたのかも知れませんが、何事もなかったの様にランサムの影響を隠していた様に思えるのは、メディア自身としての情報開示の姿勢が今後問われていくかも知れません。

ランサム被害の派生影響と言えるかと思いますが、カリフォルニア州に出されたNOTICE OF DATA BREACHには、個人情報漏えいに関わる書式の「WHAT HAPPENED?」（何が起きたのか？）の部分には、以下の様に書かれていました。

2021年6月3日頃、第三者が当社のコンピュータ・ネットワークに不正な遠隔アクセスを行い、当社の業務を妨害しようとしました。この事件を認識した後、私たちは
速やかにシステムの安全性を確保するための措置を講じ、外部の主要なサイバーセキュリティ専門家の支援を受けて徹底的な調査を開始しました。
外部の著名なサイバーセキュリティ専門家の支援を得て、徹底的な調査を開始しました。また、FBIにも速やかに通報しました。CMGは不正な第三者が、人事目的で収集された限定的な個人情報を含むサーバーにアクセスしたと判断しました。
CMGは、不正な第三者が、人事目的で収集された限られた個人情報を含むサーバーにアクセスしたと判断しました。この不正な第三者は、当社のシステム上にそのデータのコピーを作成しそのデータのコピーを当社のシステム上に作成し、当社のネットワークからそのデータのコピーを削除しようとしました。当社は調査を完了しました。
調査を完了しましたが、お客様の個人情報が不正な第三者によって取得されたことを示す証拠はありません。
この事件の結果、お客様の個人情報が不正な第三者によって取得されたり、悪用されたことを示す証拠はありません。それにもかかわらず、当社はお客様の情報は、不正な第三者が取得しようとしたデータセットに含まれていたため、細心の注意を払ってお知らせしています。
しかし、不正な行為者が取得しようとしたデータセットにお客様の情報が含まれていたため、十分な注意を払ってお知らせします。

FBIも早い段階から関与している様な記載がありますので、もしかするとコロニアル・パイプライン、JBS・・・と米国社会を揺るがすランサム被害が発生していた時期と被る事から、FBIの指示で意図的に情報開示を遅らせたという背景があるのかも知れません。

しかし、米国で発生した攻撃・・・それは日本で近い将来に発生しても決して不思議ではありません。日本のテレビ局、ラジオ局といったメディア自身も、ランサム対策を軽視すると痛い目に遭うかも知れない、そうした警鐘をこのインシデントは鳴らしている気がしてなりません。

余談です。CMGはあまり情報開示に積極的では無い様に見られるので、恐らくこれ以上の情報は開示されないものと思われますが、Security Affairsの関連記事にCMGの対策コメントが出ていたので、ここが（日本のメディアにとっても）参考になるかと思います。

同社は、セキュリティ違反後、多要素認証プロトコルの採用、全社的なパスワードリセットの実行、エンドポイント検出ソリューションの展開など、インフラストラクチャのセキュリティを改善するための措置を講じたと発表しました。

「当社は、さらなる脅威を検出し、さらなる不正行為を回避するために、その機能を引き続き監視および改善しています。これらの手順には、多要素認証プロトコル、企業全体のパスワードリセットの実行、追加のエンドポイント検出ソフトウェアの展開、すべてのエンドユーザーデバイスの再イメージング、クリーンネットワークの再構築が含まれます。」手紙を締めくくる。「CMGは個人情報の保護を真剣に受け止めており、オフィスからの質問に答えることをお約束します。」

（Securty Affairs記事より引用）※機械翻訳

一般的なランサムの侵入手口ではありますが、従業員のIDとパスワードが不正利用されたんだろうな・・・と想像させるに十分な回答内容を見ると、これを”他山の石”とするべく、まだな所は、多要素認証の実装を急ぐべきだと思います。

それが遅れると、生放送がほとんどできなくなるといった事態を引き起こすだけでなく、CMG同様に影響を受けた全ての端末の再セットアップ（恐らくIT部門には相当膨大な作業負荷だったと思われます）が必要となる事態になってしまうかも知れません。

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

更新履歴

• 2021年10月10日 AM