GEの業務委託先(Canon Business Process Services)が管理する従業員等の個人情報が侵害を受けた様です。
securityaffairs.co
「GEのサプライヤーの1つであるキャノンビジネスプロセスサービス社が経験したデータセキュリティインシデントを認識しています。キヤノンのシステム上の特定の個人情報が、権限のない個人によってアクセスされた可能性があることを理解しています。」GEからBleepingComputerに送信されたステートメントを読み取ります。「個人情報の保護はGEの最優先事項であり、影響を受ける従業員と元従業員に通知するための措置を講じています。」
同社は、従業員のメールの1つが アカウント 2月に無許可の当事者が違反した。
「2020年2月28日、キャノンは、2020年2月3日から14日の間に、権限のない者が特定のGE従業員、元従業員、および受益者がキヤノンのシステムを維持しました。」とカリフォルニア司法長官室に提出され、BleeringComputerによって公開されたデータ侵害通知を読みます。
(Security Affairs記事より引用)※機械翻訳
公式発表(3/20)
キタきつねの所感
GEからの個人情報漏えい事件が発表されましたが、データ侵害されたBPO先がキャノン ビジネス プロセス サービス(Canon Business Process Services, Inc.)です。キャノンUSAの子会社とは言え、キャノンの関連会社という事になります。
※こちらの会社からのリリースは出されていない様です。
事件の原因部分は、電子メールアカウントの侵害とあるので、最初の攻撃部分はフィッシングメールの可能性が高そうです。
キヤノンが2020年2月3日から14日の間に、不正な当事者が、特定のGE従業員の文書を含む電子メールアカウントにアクセスしました。
(公式発表より引用)※機械翻訳
とは言え、電子メール侵害において・・・人事情報が数件~数百件レベルで漏えいする可能性はあり得るかも知れませんが、大規模に事件報告をしなければいけないレベルで、個人電子メールアカウントに情報(※全従業員の個人情報)が保存されていたとは考えられません。
想像になりますが、キャノン米国子会社の、BPOシステムに関連する社内システムへの認証情報が、侵害を受けた電子メールアカウントにあったのではないでしょうか?
もう1点ひっかかるのが、電子メール侵害・・・O365等のログイン認証がシングル認証で、多要素認証が無かった事に起因している可能性です。(そもそも電子メールが外部から侵害されている部分に問題があったのでは?)
漏えいしたデータ内容は、BPO業務を請け負っていただけあって、かなり機微な情報を含んでいる様です。(※漏えい件数は発表されてないので、全件漏えいした想定で記事を書いています)
GEの従業員、キヤノンのワークフロールーティングに関連して福利厚生を受けることができる元従業員と受益者サービス。口座振込用紙、運転手などの書類に含まれていた関連個人情報免許、パスポート、出生証明書、結婚証明書、死亡証明書、医療養育費命令、税源泉徴収票、受益者指定用紙、および退職、退職、死亡などの給付申請関連するフォームやドキュメントの利点には、名前、住所、社会保障番号、ドライバーのライセンス番号、銀行口座番号、パスポート番号、生年月日
(公式発表より引用)※機械翻訳
日本企業に置き換えて考えると、マイナンバー番号まで含めて福利厚生の従業員情報処理をお願いしていたサービスプロバイダーから、全社員(※GEの場合、全世界従業員は約28万人)の機微な個人情報が漏えいしたという様な事件概要です。
攻撃者にとっては、GEは一般家電のみならず、軍需、航空宇宙分野まで担っている世界的なコングロマリット企業ですので、その従業員の機微な情報には非常に価値があると思います。DarkWeb等で高額取引がされるのは確実ではないでしょうか。
また、これらの情報を悪用して、GEへの2次攻撃(APT攻撃やフィッシング)への足掛かりにされる可能性も十分に考えられます。
(以下も想像になりますが)
キャノン米国子会社は、特に外部からのアクセスに対する防御に問題があった可能性が高いかと思います。
他社の機微情報を取り扱うBPOサービスを提供する企業であれば、外部からの不正アクセスを想定して、多要素認証等のセキュリティ対策を取るのは当然かと思いますが、恐らくキャノン米国子会社は、何か根本的な脆弱点を抱えていた気がしてなりません。
余談です。GEクラスになると医療機器の臨時生産も行える様です。米国製造業の底力を感じますね。
jp.techcrunch.com
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴