Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

P&N銀行のサードパーティ管理

不正アクセス事件 海外事件 考えてみた。

西オーストラリアのP&N銀行(Police&Nurses Credit Society)が洗練された(APT)攻撃を受け、顧客情報を漏えいした可能性があると発表しました。

www.informationsecuritybuzz.com

 

■公式発表 Statement from the CEO – information breach (1/16)

西オーストラリア(WA)のP&N‌銀行は、ハッカーサイバー攻撃を受けてシステムに保存されている個人情報にアクセスした可能性があることを顧客に通知しています。

金融機関は、侵害されたシステムには、名前、住所、電子メール、年齢、顧客、口座番号、および口座残高が含まれていたと顧客に送信された侵害通知で述べています。これらはすべて 、オーストラリアのプライバシー法で保護されている個人を特定できる情報としてカウントされ ます。100,000人もの個人がこの事件の影響を受ける可能性があり、銀行の最高経営責任者であるAndrew Hadleyによって「洗練された」と分類されました。この攻撃はP&N‌ Bankを直接標的にしませんでした。これは、組織にホスティングサービスを提供していたサードパーティでの2019年12月12日頃のサーバーアップグレード中に発生しました。

基金社会保障番号、身分証明書のデータ(運転免許証、パスポート)は別のシステムに保存されており、安全です。

(Information Securitybuzz記事より引用)※機械翻訳

 

◆キタきつねの所感

P&N銀行は特定コミュニティ(警察官と看護師)向けのオーストラリアの金融機関です。金融機関は主に金銭的な目的からハッカー潜在的攻撃対象となりますが、今回の事件は銀行本体(ホスト)システムが狙われた訳ではなく、サードパーティが管理していた銀行の顧客管理(CRM)プラットフォームが狙われました。

 

銀行のCEOは、

P&N Bankの主要な銀行システムは、影響を受けるシステムから完全に分離され、分離されているため、この事件を確信できます。

・顧客資金の損失を引き起こしていません。
サードパーティが顧客のクレジットカードの詳細にアクセスできるようにしていない。そして
・銀行のパスワードを侵害していません。

(公式発表より引用)※機械翻訳

 

と言っており、「パスワード」「社会保障番号」「パスポート番号」「運転免許情報」「健康情報」等の銀行が保有する機微な個人情報は含まれておらず、銀行本体システムとは分離されていたので、金銭的な被害を及ぼす(直接的な)被害はないと言っていますが、機微な顧客情報を持つ金融機関としてサードパーティ管理をきちんとしていたのか?という疑問の声が、多くの専門家から上がっています。

 

銀行からはあまり情報が開示されてないのですが、2019年12月12日にサーバ更新中CRMサービスプロバイダー(サードパーティ)は侵害を受けた様です。サーバ更新中にどうやって攻撃を受けたのかが非常に気になる所ですが、残念ながら脆弱点の詳細情報は出てない様です。(※更新作業でFWに一時的に意図的(ミス)で穴を開けた、クラウド設定をミスして公開にした、本物の個人情報を含むテストデータが消されず置いてあった・・・等々、想像は尽きませんが・・・)

 

別の海外記事では、

P&N Bankが長年にわたってAmazonを含むさまざまなホスティングプロバイダーと関係を持っていることを示しています。メルボルンIT。現在はArq Groupの一部です。Vocus Groupの一部であるAmnet Party Ltd.

しかし、どの会社が関与しているのか、または障害がWebホスティングではなくアプリケーションサービスプロバイダーにあるのかを判断することは困難です。銀行はそれ以上の質問には回答しませんでした

Bank Information Security記事より引用)※機械翻訳

 

とあり、いくつかのIT企業が今回の侵害事件の候補である事を示しています。銀行のみならず、一般企業においても優れた外部リソースを使う事は今の時代当然かと思います。しかし日本も含め、多くの企業・組織ではサービス(技術)内容と、価格面だけを重視し、サードパーティセキュリティ面に対する評価はあまりされてない気がします。

サードパーティのサービスを利用する企業・組織は、自社の直接的なセキュリティ管理範疇外である事ももっと考慮すべきと言えるかも知れません。

 

オーストラリアのサイバーセキュリティセンター(ACSC)は、2019年6月にサイバーサプライチェーンリスク管理実務者ガイドをリリースしており、この内容は日本企業・組織も参考になる所が多いかと思います

www.cyber.gov.au

 

ACSCはサプライチェーンリスク管理アプローチとして4つの一般的な手順を紹介しています。

■システムを把握してください。

組織は、適切なリスク活動を通知するために、特に国家安全保障の文脈において、感度とビジネス価値に関してシステムの重要性を決定する必要があります。

サプライチェーンのリスクを理解してください。

システムの悪用方法を含め、システムを十分に理解し、関連する現在の脅威を常に把握して関連するシステムリスク評価を行います

サプライチェーンのリスクを管理します。

サプライチェーンを他のシステムのサイバーセキュリティリスクとともに客観的に管理します。実現したリスクの影響を最小限に抑えるために、システムまたはプロセスを再構築することにより、リスクを回避できる場合があります。リスクの削減は、サイバーセキュリティへのコミットメントが実証されているベンダーを選択することで実現できます

サプライチェーンとコントロールを監視します。

サプライチェーンとそれらがサポートするシステムは、時間とともに変化します。SCRMとコントロール定期的に監視および確認します。組織全体が安全なサプライチェーンをサポートし、インシデントが一貫した方法で報告されるようにします。

ガイドのエグゼクティブサマリーから引用)※機械翻訳

 

書かれている事は一般的な事でもあるので、多くの方にとって特に違和感がないかと思いますが、3項目の「サイバーセキュリティへのコミットメントが実証されているベンダーを選択する」事に対して、(個人の見解になりますが)は、日本企業・組織も意識すべきかと思います。

日本の金融機関は、フィンテック企業との関係を年々強化していますが、こうした企業に対して「セキュリティ」視点を求めていく事が必要な時期なのかも知れません。それが結果として提携先企業の持続的なビジネス拡大に寄与するのではないでしょうか。

 

 

 

本日もご来訪ありがとうございました。 

Thank you for your visit.

 

サプライズパーティのイラスト(男性)

 

更新履歴

  • 2020年1月19日AM(予約投稿)