ダンキンドーナッツが2015年に受けたサイバー攻撃で訴えられたと記事が出ていました。
threatpost.com
Dunkin 'Donutsは、ニューヨーク州のデータ侵害通知法に違反したとして訴えられています。訴訟では、ダンキンの親会社であるダンキンブランドが、2015年に会社のDDパークロイヤルティプログラムに参加した20,000人近くの顧客に影響を与えた違反を開示しなかったと主張しています。
ニューヨーク州検事総長レティシア・ジェームズは木曜日に訴訟を起こし、ドーナツメーカーが「過去および現在進行中の詐欺的、欺cept的、違法な慣行」に関与していると非難した。
(中略)
訴訟によると、ダンキンブランドは、2018年10月31日まで 2015年の攻撃について顧客に通知しませんでした。その際、DD Perksのお客様に氏名、メールアドレス(ユーザー名)、16桁のDD Perksアカウント番号、DD Perks QRコードが攻撃でアクセスされた可能性があることを通知しました。
(中略)
New York AGによると、ダンキンブランドは、2015年5月から、顧客のアカウントがハッキングされたという申し立てを受けていました。Dunkin 'Brandsがこの攻撃を公に認めるまでに、ほぼ3年かかります。訴状はまた、ダンキンのブランドに代わって作業しているサードパーティのアプリ開発者(CorFire)が2015年6月に5日間で19,715のアカウントが侵害されたと同社に警告したと主張しています。
(Threatpost記事より引用)※機械翻訳
◆キタきつねの所感
個人漏洩事件は意図的に隠蔽されてしまうケースもあり、事件のリリースが出ているのは氷山の一角である、改めてこの事件を受けてそう認識を強くしました。
日本では起こりえないケースな気がしますが、訴訟大国米国ならではと言えるのでしょうか、訴えたのがニューヨーク州検事総長であるのも面白い所です。
2015年の攻撃については、どうやらパスワードリスト攻撃(クレデンシャルスタッフィング攻撃)だった様です。会員サイトから2万人の情報が最大で影響を受けた様ですが、2018年10月31日に攻撃に初めて気づいたとしてリリースを出すと共に、影響を受けた可能性があるユーザに対し強制パスワードリセットをした様です。
問題は、ダンキンブランドが2018年ではなく、2015年の段階でサードパーティから報告が上がっていたはず・・という部分なのだと思います。これが事実だとすれば、ダンキンブランドが3年放置(隠ぺい)していたか、対応を忘れていた可能性が高い事になります。
ダンキンブランドは2019年2月にもパスワードリスト攻撃を受けて、30日で30万人の会員が影響を受けた様です。そう考えると・・・2015年事件を隠蔽していた影響が次の事件にも繋がった可能性もでてきます。
ダンキンブランドは、2015年のデータ侵害時に、攻撃を受けたデータベースには顧客のカード情報が含まれてなかった事から、(調査の上)不正アクセス被害は無いとして顧客に通知する必要はなかったと考えている様です。
一方で司法長官は、
司法長官によると、州のデータ侵害通知法は、「個人情報が有効な許可なしに取得された、または合理的に信じられたすべてのニューヨーク州の居住者にセキュリティ違反を開示することを企業に義務付けています」。
(Threatpost記事より引用)※機械翻訳
とコメントしており、個人的にはダンキン側の情報開示が不十分だった可能性が高い気がします。日本もインシデントの報告義務が個人情報保護委員会(法改正)で検討が進んでいる様ですが、正しく世間にインシデント内容を発表する、やはりそうした視点でも検討が必要なのかなと思います。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
