英国情報局(ICO)は2018年に発覚した個人情報漏えいインシデントに関し、キャセイパシフィックに対して50万ポンドの罰金を科しました。nakedsecurity.sophos.com
公式発表(2018/10/24)
キタきつねの所感
キャセイパシフィックは、2018年3月に顧客データベースをブルートフォース攻撃された際に外部からのデータ侵害を検知します。この際の外部セキュリティ会社の調査で、2014年10月~2018年5月まで適切なセキュリティが保たれてなかった事が判明します。
この結果、全世界で最大940万人の顧客データが漏えいしました。
www.nytimes.com
データが大量に攻撃者に窃取されたのは、顧客データベースへのブルートフォース(総当たり)攻撃だったと言われていますが、約4年に渡りデータ侵害を受けたのは、データ収集マルウェアをインストールされたからだった様です。
英国情報局(ICO)の調査によると、
COの調査によって判明したセキュリティ上の罪には、いくつかの基本的なものが含まれます。たとえば、ICOは、パスワードで保護されていないパッチが適用されていないインターネット向けサーバーのバックアップファイル、開発者によってサポートされなくなったオペレーティングシステムの使用を発見しました、および不十分なアンチウイルス保護。
(Naked Security記事より引用)※機械翻訳
とあるので、キャセイパシフィックは2018年の時点でセキュリティ対策にほとんど関心がなかったとしか思えません。攻撃側にとっては4年も検知されず、大きな収穫が得られる「美味しい」攻撃対象だった可能性が高い様です。
外部からの不正侵入については、様々なシステムが同時接続している大きなシステムでは検知が難しい所もあったかと思いますが、本丸である、顧客データベースへの総当たり攻撃については、(攻撃を想定してセキュリティ体制を考えていれば)検知出来たのではないでしょうか?あるいは特権IDについて多要素認証を求める対策も出来たかも知れません。
罰金額を考えると、英国での個人情報漏えい対象者は940万人の中111,578人で、罰金額が50万£ですので、1人当たりで考えると600円程度です。罰金額としてはそう大きくはありません。
しかしこれはGDPR施行前だからこの程度で済んでいるだけだと思います。単純比較はできませんが、例えば2019年7月のブリテッシュエアウェイズは約50万人で、罰金額が1億8,339万£(約250億円)ですので1人当たり5万円になります。
キャセイパシフィックは罰金を受ける様ですが、GDPR対象外の時期で良かったと考えているに違いありません。
日本では、漏えいしても罰金(個人補償額)が少ないのでサイバー保険の加入率が悪いという記事が先日出ていましたが、海外では大型インシデント=経営に影響を与えかねないケースが増えてきています。
各国の個人情報保護違反に対する罰金が高額化の方向で改正されている中、他国に比べて対策が緩いと海外ハッカーに思われれば、今後、日本企業が狙われる可能性は十分にあり得ますので、警戒すべきかと思います。
foxsecurity.hatenablog.com
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴