出典: sdx15 via Shutterstock
経済的に苦境に立たされているインドのカーシェアリング企業Zoomcar Holdingsは、先週「無許可の第三者」が約840万人のユーザーの記録にアクセスした後、データ漏洩を被ったと、同社は先週米国証券取引委員会(SEC)に提出した声明で述べました。これには電話番号や個人住所が含まれている可能性があります。
アメリカ人2人によって設立されましたが、インドのバンガロールから運営されている同社は、約100都市で車を共有する1000万人のユーザーを誇っていますが、昨年の株価は99%以上下落し、先月Nasdaq Global Marketsの取引所から上場廃止されました。Zoomcarは「脅威を封じ込め、セキュリティ体制を強化するために即時の行動を取った」とし、漏洩を調査するために第三者のサイバーインシデント対応会社を雇ったとSECへの提出書類で述べています。
同社は、ユーザーのプレーンテキストパスワードやその他の機密識別子、または事業の財務情報が漏洩の一部として侵害された証拠は見つかっていないと述べています。
「同社は、特定の従業員が会社のデータへの無許可アクセスを主張する脅威者からの外部通信を受け取った後、事件を認識しました」とZoomcarはSECへの重要イベント開示で述べました。「現時点では、財務情報、プレーンテキストパスワード、またはその他の機密識別子が侵害された証拠はありません。」
関連記事:『エベレストグループ』がSAPのHRツールを通じてグローバル組織を恐喝
この漏洩は、インドや他の南アジア、東南アジア諸国がユーザーデータを保護するための厳しい政策を通過させる中で発生しました。インドのデジタル個人データ保護(DPDP)法は、企業がユーザーのデータを処理するために特定の同意を得ること、情報を保護するための適切なセキュリティ対策を実施すること、およびそのような開示を処理するために指定された政府機関に6時間以内に漏洩を報告することを要求しています。現在はインドコンピュータ緊急対応チーム(CERT.in)が担当しています。この法律は2023年に成立し、今年更新されています。
サイバー犯罪者の標的となる東南アジア
全体として、東南アジアでの攻撃は増加しています。脅威者は報告によれば、インドのニューデリー市の2つの病院のサーバーをハッキングし、患者ケアに支障をきたしました。サイバー犯罪者はマレーシアのクアラルンプール国際空港のシステムを侵害し、旅行者に大きな遅延を引き起こし、1000万米ドルの身代金を要求しました。そして、中国に関連するグループBillbugは、フィリピン、台湾、ベトナムを含む地域の多くの国で政府および産業システムを標的にし、ある程度の成功を収めました。
関連記事:インド警察がミャンマーのビジネスモデルを模倣したサイバー犯罪ギャングを逮捕
この地域の急速なデジタル化は、サイバー犯罪者や国家の関係者にデータを盗んだり、システムを身代金のために抑える機会を与えていると、ゼロトラストマイクロセグメンテーション技術の提供者であるColorTokensのチーフエバンジェリスト、アグニディプタ・サルカー氏は述べています。
「タイ、ベトナム、シンガポールのような国々の組織は、急速なデジタル発展のために頻繁に標的にされます」と彼は言います。「そして、地政学によって動機づけられた国家攻撃者もいます。」
Zoomcarにとって、この漏洩は初めてではありません。2018年には、同社は別の攻撃を受け、910万人のユーザーデータがダークウェブで販売されました。当時の報告によれば。
最新の事件では、攻撃者が機密データや財務的に敏感な情報を取得したようには見えませんが、消費者は依然として注意が必要だと、アプリケーションセキュリティソリューションの提供者であるBlack Duckのインフラセキュリティプラクティスディレクター、トーマス・リチャーズ氏は述べています。
「財務情報が侵害されていないのは良いことですが、無許可の第三者に露出した情報は他の詐欺を助長するために使用される可能性があります」と彼は言います。「攻撃者は今、顧客やレンタル者として装うための前提情報を持っています。Zoomcarの顧客は、レンタル費用に関する即時の行動を求める個人からの通信には注意を払うべきです。」
関連記事:SideWinder APTがインドの隣国政府をスパイしていることが発覚
対応時間の短縮
インドだけでなく、他の国々も数時間または数日以内に漏洩を報告することを企業に要求しています。シンガポールは情報が害を及ぼす可能性がある場合、企業に72時間の報告義務を課しています。米国のSECは「重要な」データ漏洩に対して4営業日の報告義務を課しています。
ほとんどの企業が6時間の要件を遵守していますが、迅速な報告の必要性は、企業が24時間体制のインシデント対応者を持つべきであることを意味すると、サイバーセキュリティサービスプロバイダーであるNCC Groupのシニアアドバイザー兼セキュリティディレクター、ティム・ローリンズ氏は述べています。
「インシデントを特定するのにかかる時間は、組織がネットワークを監視し、効果的に対応できる24/7のセキュリティオペレーションセンターを検討すべきことを意味します」と彼は言います。「組織は危機対応計画を準備し、演習する必要があり、インシデントが特定された場合に何が期待されるかを全員が知っている必要があります。これには、経営陣からサイバーセキュリティチームに至るまでが含まれます。」
企業はインド国内外でサイバーセキュリティ投資を見直し、ニーズを満たしていることを確認する必要があるとColorTokensのサルカー氏は述べています。情報セキュリティへの世界的な支出は2025年に2100億ドルを超えると予測されており、2024年から15%増加するとビジネスインテリジェンス企業ガートナーによれば、しかしそのお金はうまく使われていないようです。
「技術とリスクのリーダーは、攻撃を予測する能力、防御、封じ込め、攻撃の影響に耐える能力、デジタルレジリエンスを向上させる能力を報告するべきです」とサルカー氏は言います。「残念ながら、世界的にはこれはトレンドではなく、攻撃者が成功し続けています。」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/indian-car-sharing-firm-zoomcar-breach