米国でテレビやラジオ局を多数傘下に収めるCoxMedia Group(CMG)が今年6月にサイバー攻撃を受けて生放送等に影響が出た件で、4か月経過して攻撃が「ランサム」であった事が発表されました。
therecord.media
・NOTICE OF DATA BREACH (10/8)
キタきつねの所感
CMGは米国アトランタに本拠を置くメディアコングロマリット企業です。このグループへのサイバー攻撃は今年の6月に発生し、放映に影響が出た事から当時大きく取り上げられ、ランサムの可能性も指摘されていましたが、約4か月経過してサイバー攻撃がランサムウェアによるものだったと公表しました。
edition.cnn.com
当時の影響について、CNNの記事では以下の様に書いています。
2つのステーションの従業員によると、デジタルビデオライブラリへのアクセスを含め、今週はまだ複数のシステムがダウンしています。気象コンピュータも少なくとも2つのステーションで機能していませんでした。
一部の駅員はCNNに、まだ電子メールを回復しておらず、回避策に取り組んでいると語っています。ステーションはスタッフに電話でメールを開かないように求めています。ある従業員によると、水曜日のあるステーションでは、電話回線や放送ソフトウェアの障害など、新たな問題が発生していました。
コックスメディアグループとその親会社は、攻撃について公にコメントしておらず、企業からスタッフへの公式声明もありません。
(CNN記事より引用)※機械翻訳
これがランサムウェア攻撃では無かったとしても、メディアとしての根幹機能が一時的に全て麻痺する程のサイバー攻撃だった事が想像されます。
別な記事では攻撃の影響が広範囲に渡っていた事が書かれています。
www.insideradio.com
Cox Media Groupは、木曜日の朝、ラジオとテレビ局のストリームをオフラインにするランサムウェア攻撃に苦しんでいたと伝えられています。複数の報告によると、コンピューターがハッキングされ、内部ネットワークやその他の操作に影響を与えました。報道によると、放送局のWebサイトとほとんどの番組は無傷のままでしたが、この事件により一部のライブ番組がスクラブされ、一部のテレビ局はニュース放送をキャンセルしなければなりませんでした。
(中略)
サイバーセキュリティを扱ったTheRecord by Recorded Futureによると、木曜日のプライベートな会話で、コックスの従業員は「今朝、すべてをシャットダウンし、メールをログアウトして、何も広がらないようにするように言われました」と語った。「系列局の友人によると、安全のために時間内に物事をシャットダウンし、すぐに復旧して実行する必要があります。」
(InsideRadio記事より引用)※機械翻訳
しかし、CMGの公式リリースページ、あるいは公式Twitterには事件の事を彷彿とさせる内容は確認できず、今回のCA州に提出されたNOTICE OF DATA BREACH(影響を受けた個人宛のサンプルレター)が出された事に関する記載も見当たりませんでした。
Our News – Cox Media Group
Cox Media Group (@COXMG) | Twitter
もしかすると別な所に情報が掲載されていたのかも知れませんが、何事もなかったの様にランサムの影響を隠していた様に思えるのは、メディア自身としての情報開示の姿勢が今後問われていくかも知れません。
ランサム被害の派生影響と言えるかと思いますが、カリフォルニア州に出されたNOTICE OF DATA BREACHには、個人情報漏えいに関わる書式の「WHAT HAPPENED?」(何が起きたのか?)の部分には、以下の様に書かれていました。
2021年6月3日頃、第三者が当社のコンピュータ・ネットワークに不正な遠隔アクセスを行い、当社の業務を妨害しようとしました。この事件を認識した後、私たちは
速やかにシステムの安全性を確保するための措置を講じ、外部の主要なサイバーセキュリティ専門家の支援を受けて徹底的な調査を開始しました。
外部の著名なサイバーセキュリティ専門家の支援を得て、徹底的な調査を開始しました。また、FBIにも速やかに通報しました。CMGは不正な第三者が、人事目的で収集された限定的な個人情報を含むサーバーにアクセスしたと判断しました。
CMGは、不正な第三者が、人事目的で収集された限られた個人情報を含むサーバーにアクセスしたと判断しました。この不正な第三者は、当社のシステム上にそのデータのコピーを作成しそのデータのコピーを当社のシステム上に作成し、当社のネットワークからそのデータのコピーを削除しようとしました。当社は調査を完了しました。
調査を完了しましたが、お客様の個人情報が不正な第三者によって取得されたことを示す証拠はありません。
この事件の結果、お客様の個人情報が不正な第三者によって取得されたり、悪用されたことを示す証拠はありません。それにもかかわらず、当社はお客様の情報は、不正な第三者が取得しようとしたデータセットに含まれていたため、細心の注意を払ってお知らせしています。
しかし、不正な行為者が取得しようとしたデータセットにお客様の情報が含まれていたため、十分な注意を払ってお知らせします。
FBIも早い段階から関与している様な記載がありますので、もしかするとコロニアル・パイプライン、JBS・・・と米国社会を揺るがすランサム被害が発生していた時期と被る事から、FBIの指示で意図的に情報開示を遅らせたという背景があるのかも知れません。
しかし、米国で発生した攻撃・・・それは日本で近い将来に発生しても決して不思議ではありません。日本のテレビ局、ラジオ局といったメディア自身も、ランサム対策を軽視すると痛い目に遭うかも知れない、そうした警鐘をこのインシデントは鳴らしている気がしてなりません。
余談です。CMGはあまり情報開示に積極的では無い様に見られるので、恐らくこれ以上の情報は開示されないものと思われますが、Security Affairsの関連記事にCMGの対策コメントが出ていたので、ここが(日本のメディアにとっても)参考になるかと思います。
同社は、セキュリティ違反後、多要素認証プロトコルの採用、全社的なパスワードリセットの実行、エンドポイント検出ソリューションの展開など、インフラストラクチャのセキュリティを改善するための措置を講じたと発表しました。
「当社は、さらなる脅威を検出し、さらなる不正行為を回避するために、その機能を引き続き監視および改善しています。これらの手順には、多要素認証プロトコル、企業全体のパスワードリセットの実行、追加のエンドポイント検出ソフトウェアの展開、すべてのエンドユーザーデバイスの再イメージング、クリーンネットワークの再構築が含まれます。」手紙を締めくくる。「CMGは個人情報の保護を真剣に受け止めており、オフィスからの質問に答えることをお約束します。」
(Securty Affairs記事より引用)※機械翻訳
一般的なランサムの侵入手口ではありますが、従業員のIDとパスワードが不正利用されたんだろうな・・・と想像させるに十分な回答内容を見ると、これを”他山の石”とするべく、まだな所は、多要素認証の実装を急ぐべきだと思います。
それが遅れると、生放送がほとんどできなくなるといった事態を引き起こすだけでなく、CMG同様に影響を受けた全ての端末の再セットアップ(恐らくIT部門には相当膨大な作業負荷だったと思われます)が必要となる事態になってしまうかも知れません。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
