日本が被害対象に含まれてなかったので、日本国内ではそろそろニュースが下火になっているかと思いますが、敢えて取り上げます。
www.itmedia.co.jp
■公式発表
海外市場において個人向け製品をご利用いただいているお客さまの情報流出に関するお知らせとお詫び
Trend Micro Discloses Insider Threat Impacting Some of its Consumer Customers
トレンドマイクロ株式会社は、弊社のテクニカルサポートの元従業員が海外市場で当社個人向け製品をご利用になられている一部のお客さまの情報を持ち出し第三者に提供していたことを確認しました。
このような事態が生じたことは極めて遺憾であり、お客さまをはじめ、関係者の皆様に多大なるご迷惑並びにご心配をおかけしますことを深くお詫びいたします。
持ち出された情報は、海外市場の個人向け製品をご利用いただいている一部のお客さまの情報です。日本市場において個人向け製品をご利用いただいているお客さまおよび法人・官公庁・団体のお客さまは含まれておりません。また、持ち出された情報の内容には、クレジットカード情報および金融機関口座番号などは含まれておりません。
(日本語公式発表より引用)
◆キタきつねの所感
この事件については、上記のITMediaの記事も詳しく書かれていますし、piyokango氏がまとめ記事を既に書いてますので、今更この事件を取り上げるのもどうかとは思いますが、日本国内では「海外の事件ね・・・」とあまり大きく取り上げられていませんが、影響を受けた英語圏の国々のメディアの一部は、「がっかりした」的な記事を多数出しています。
この件で、週末ブロガー(※の割にはほぼ利益を出せてない気がしますが・・・TT)である私は、多数の英語関連記事に目を通しました。
他のセキュリティ製品を出されているベンダー(ライバル企業)を含む、海外のセキュリティ専門家の意見は、「他人の不幸は蜜の味」と言う面は否定できませんが、それでも含蓄に富んでいるとも思いますので、海外の反応という形でまとめてみたいと思います。
※トレンドマイクロさん(見てないと思いますが)、セミナーか共同研究のお話でも頂けましたらこんな記事は書かなくなりますので是非ともご検ry
■Warren Poschman, Senior Solutions Architect, comforte AG
トレンドマイクロの違反は、内部のデータを保護するセキュリティを補完的に展開することなく、境界セキュリティ、UBA、データベース暗号化、DLP、詐欺/脅威検出が展開されている今日のITセキュリティの大きな、しかし不幸な断絶を強調しています。「十分な高さの壁を構築できず、私のデータが安全である」という信念は、2019年に繰り返し明らかにされた誤りです。データの周りに仮想Maginotラインを構築する代わりに、組織は外部または内部の脅威から内部のデータを保護するデータ中心のセキュリティモデル-つまり、内部で最も重要なものを保護するだけでなく、外部の境界を保護するために行うこともできます。トークン化などのデータ中心のセキュリティ技術は、保管中、移動中、使用中のデータを保護し、企業全体で保護します。
(Informationsecuritybuzz記事より引用)※機械翻訳
■キタきつねコメント
マジノ線・・第二次世界大戦の懐かしい言葉が出てきていますが、FW等で城壁を高くするより、重要データを脅威ベースでトークン化などで保護する事を推奨しているのだと思います。
■Terry Ray, Senior Vice President and Fellow , Imperva
ゼロトラストアプローチを採用することは今日の必須事項であり、トレンドマイクロのインサイダー脅威インシデントは、従業員が組織とその顧客の最大の利益を念頭に置いていると信頼できないことの証拠です。現在、さまざまな地域、事業単位、および環境(クラウドとオンプレミス)にまたがるより多くのユーザーとデータがあります。信頼できる内部ネットワークがあると想定するのは単純で危険です。なぜなら、この場合、インサイダーの脅威を無視している、または信頼しているからです。ゼロトラストをサポートするベンダーは、利用可能なすべてのデータソースのリスクベース分析を通じて「信頼」を継続的に評価します。ユーザー間の相互作用を可視化できるため、統合されたサービスとセキュリティ機能を提供するのに適した立場にあります。
(後略)
(Informationsecuritybuzz記事より引用)※機械翻訳
■キタきつねコメント
ゼロトラストの概念で内部犯行対策も考えるべきであるという論旨ですが、他社のセキュリティを担う商品・サービスを提供するトレンドマイクロも、他社に対しては同じことを様々な場で提示してきているからこそ、自社ではやってなかったのか?と外からは皮肉に映るのだと思います。
例えば10月25日に出たブログ記事は、その最たるものかも知れません。
blog.trendmicro.co.jp
■Peter Draper, Technical Director, EMEA, Gurucul
Graham Cluley氏は、これがすべてのセキュリティ会社にとって悪夢であると言ったときは正しい。セキュリティ会社は、顧客が組織や製品やサービスを販売していることに対する信頼を維持するための評判に依存しています。侵害がユーザーに影響を与えるのは非常に大きなことです。ただし、これはリスクの領域であり、組織の優先リストである「Insider Threat」で高くなっています。または、少なくとも優先リストで高くする必要があります。インサイダーの脅威は、この特定のケースなど、悪意のあるインサイダーだけでなく、意図しないインサイダーの脅威と、「信頼できる」第三者(サプライヤー、請負業者など)からのインサイダーの脅威も含みます。組織が自分の管理下にあるデータと資産を保護する能力が向上するにつれて、そのデータにアクセスするためのオプションはインサイダーに向いています。
(後略)
(Informationsecuritybuzz記事より引用)※機械翻訳
■キタきつねコメント
企業が自社のセキュリティを破られた(事件を発生させた)場合の信頼回復について、従来以上に努力しないと元のレベルに戻していくのが大変である事は、例えばベネッセの内部情報漏えい事件などからの教訓としても得ている方は多いかと思います。ましてや今回の事件は、セキュリティ関連企業で著名な方から数えた方が早い、トレンドマイクロからの内部情報漏えいですので、より一層の努力が必要なのだと思います。
こちらも、今年の9月20日に出ているトレンドマイクロからの注意喚起ですが、、、
esupport.trendmicro.com
トレンドマイクロは、ユーザーを対象とした高度な技術サポート詐欺について、お客様や一般の人々にお知らせしたいと考えています。テクニカルサポート詐欺は業界全体の問題であり、詐欺師は支払いやその他の機密情報を被害者から抽出するために、トレンドマイクロを含む正当な技術ベンダーになりすます。詐欺師は現在、発信者IDを偽装できる技術を使用しているため、信頼できる会社からの正当なサポート番号が表示されているように見えます。
トレンドマイクロは、これらの技術サポート詐欺師とは一切関係ありません。トレンドマイクロの標準サポートは、当社の消費者製品のアクティブなサブスクリプションにすでに含まれています。トレンドマイクロのテクニカルサポートチームは、未承諾の電話をかけず、常にお客様と協力して、必要な電話での会話を事前にスケジュールします。顧客が正規の購入または支払いを希望する場合は、常にトレンドマイクロの公式商取引サイトまたは認定再販業者にアクセスして、取引が安全であることを確認してください。
(後略)
(TM Advisoryより引用)※機械翻訳
偶然だとは思いますが、事件を公表するより前に「技術サポート詐欺」の注意喚起を出しています。
トレンドマイクロのテクニカルサポートチームは、未承諾の電話をかけず、常にお客様と協力して、必要な電話での会話を事前にスケジュールします。顧客が正規の購入または支払いを希望する場合は、常にトレンドマイクロの公式商取引サイトまたは認定再販業者にアクセスして、取引が安全であることを確認してください。
(TM Advisoryより引用)※機械翻訳
事件発表を知らなければ、ごく普通の注意喚起として読み過ごすのですが、今回の事件発表を見ると・・・
トレンドマイクロは非請求の消費者を呼びません
消費者向け製品を購入した場合は 、トレンドマイクロが予期せず電話をかけることはありません。サポートコールが行われる場合、事前にスケジュールされます。トレンドマイクロからであると主張する予期しない電話を受けた場合は、電話を切って、下記の公式連絡先の詳細を使用してトレンドマイクロのサポートに報告して ください。
(英語公式発表より引用)※機械翻訳
同じ事が記載されています。既に9月の時点で、事件を把握していたのだろうな・・と想像させるのに足る内容です。因みに、今回の個人情報の漏えい対象国は、「米国、オーストラリア、バハマ、カナダ、ドイツ、アイルランド、ニュージーランド、英国」です。
そうなんです・・泣く子も黙るGDPR対象国が含まれています。
トレンドマイクロは、欧州の一般データ保護規則に基づき、組織が72時間以内に違反を報告することを要求する通知を提出したと述べています。
(Bankinfosecurity記事より引用)※機械翻訳
トレンドマイクロは、GDPR(72時間以内の侵害報告)違反はしてないと言っている様ですが、、、この辺りも後々、どうなるか心配なところです。
海外記事を読んでいて、トレンドマイクロを攻める記事も多数みかけました。例えばCSO Onlineでは、
この侵害は、サイバーセキュリティ企業にとって恥ずべき出来事であり、このような内部者の脅威を防ぐためのシステムを整えるべきです。トレンドマイクロはまた、長年にわたって技術サポート詐欺師のリスクについて消費者に警告してきましたが、現在では自身の消費者に影響を与える新しい技術サポート詐欺のリスクの原因となっています。
同社は従業員がどのように顧客データベースを盗んだかを詳しく述べていませんが、その人は「洗練されたコントロールを迂回するために計画的な浸透スキームに従事している」と述べました。
トレンドマイクロは、従業員がどのようにデータを盗むことができるかをCSO Onlineに伝えることを拒否しましたが、「疑わしい活動の継続的な監視と警告を含む消費者データベースへのアクセスに関する内部セキュリティ機能とプロセスを増やしました」と指摘しました。
(CSO Online記事より引用)※機械翻訳
他社の事を言っている場合ではないのではないか?と皮肉ぽい文章となっており、更に言えば、どうして今回の事件に対する手口を公開しないのか?(いつも他社のを分析しているのに・・・という皮肉になっている気がします)とも読み取れる記事を書いています。
日本では記事になっていない部分では、対策の所が気になりました。
「消費者データベースへのアクセスに対する監視を強化した」と読めるので、逆に言えば内部アクセスの従来の監視が、内部犯によって迂回されてしまった(抜け穴があった)という事を示唆している気がします。
根拠の無い推測になりますが、当然の事ながらトレンドマイクロの内部セキュリティには自社製品(ウィルスバスターやDeepSecurity等)が導入されていたのかな・・・と思うのですが、その脆弱性を内部犯によって破られてしまったから、「発表できない」のかなと・・・考えられなくもありません。
顧客データが販売されてしまった「現在知られていない第三者の悪意のあるアクター」についても、「知られていない」について、調査段階ですぐ分かるはずなのに・・・と思わなくはないのですが、日本も海外も記者さんがここにはあまり突っ込まないのは、大人の事情が隠れているのかも知れません。
尚、事件の影響件数は当初1200万人の顧客の1%(つまり最大12万人)と発表されていましたが、11/6にトレンドマイクロの追加発表があり、6.8万人であると訂正がされています。(国内記事はまだ12万人の所が多いですが・・)
[Update November 6, 2019: The estimated number of consumer customers affected is 68,000.]
(英語公式発表より引用)
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
