世界的な銀行大手UBSは、第三者のサプライヤーへのサイバー攻撃によりデータ漏洩を被りました。
Infosecurityにメールで送られた声明で、UBSのスポークスパーソンは、顧客データや業務には影響がないものの、漏洩が発生したことを確認しました。
「外部サプライヤーへのサイバー攻撃により、UBSおよび他のいくつかの企業に関する情報が盗まれました。顧客データには影響はありません。UBSはこの事件を認識するとすぐに、業務への影響を避けるために迅速かつ決定的な行動を取りました」とUBSの声明は述べています。
スイスの新聞Le Tempsは、事件後にWorld Leaksと呼ばれるランサムウェアグループ(以前はHunters Internationalとして知られていた)によって、13万人のUBS従業員に関する情報がダークウェブに公開されたと報じました。
このデータには、電話番号、職務、勤務地や働いているフロアの詳細を含むビジネス連絡先情報が含まれています。
UBSのCEOであるセルジオ・エルモッティの直通電話番号も公開されたデータに含まれていたと報告されています。
UBSはまた、事件の中心にある外部サプライヤーがスイスに拠点を置く調達サービスプロバイダーのChain IQであることをInfosecurityに確認しました。
別のChain IQのクライアントであるスイスのプライベートバンクPictetも、攻撃の結果としてデータ漏洩を被ったことを明らかにしました。Pictetは、Reutersによって公開された声明で、盗まれた情報にはクライアントデータは含まれておらず、技術プロバイダーや外部コンサルタントなどの銀行のサプライヤーとの請求書情報に限定されていると述べました。
執筆時点では、他のChain IQの顧客が影響を受けたかどうかは不明です。
「これまでにない規模」の攻撃
Chain IQは、他の19社と共に、6月12日に「これまでにない規模」でのサイバー攻撃を受けたと、6月19日に発表された声明で述べました。
6月12日17時15分CETに、「一部」のChain IQの顧客データがダークウェブに投稿されました。
「Chain IQへのサイバー攻撃に関連して、選ばれたクライアントの従業員のビジネス連絡先情報を含むデータが流出しました。これらのデータには、クライアント従業員の内部電話番号が含まれています」と同社は書いています。
影響を受けたすべての顧客、従業員、およびパートナー企業は、6月12日木曜日の20時CETに事件について通知されました。
法執行機関にも攻撃が通知されました。
同社は、データがダークウェブに公開された後、関連するすべてのシステムのセキュリティを強化するために即時の措置を講じたと述べました。Chain IQは、ITインフラストラクチャおよびサイバーセキュリティのアウトソーシングパートナーと協力を続けています。
「Chain IQはこの攻撃を非常に深刻に受け止めており、新しい発見があればすぐに追加情報を提供します」と同社は付け加えました。
攻撃がどのように発生したのか、またはランサムウェアに関連しているかどうかについては詳細は提供されませんでした。
UBS漏洩の潜在的な広範な影響
このストーリーにコメントして、ESETのグローバルサイバーセキュリティアドバイザーであるジェイク・ムーアは、UBSや他の顧客に影響を与える漏洩の完全な影響はまだ明らかではないかもしれないと警告しました。
「クライアントデータが盗まれなかったように見えますが、過去の数十件の攻撃から学んだことは、データ漏洩の全体像が初期の漏洩から数週間後まで完全に透明ではないかもしれないということです。したがって、潜在的な結果については常にオープンな心を持つことが推奨されます」と彼は説明しました。
OPSWATの国際SVPであるジェームズ・ニールソンは、従業員の詳細の公開が、UBSのような影響を受けた企業を公然と恥じるための策略であり、ランサムウェアの要求を支払う圧力を高めるためのものである可能性があると述べました。
「従業員の詳細を標的にして公開することは、財務的な損害をもたらすだけでなく、銀行の価値や評判を危険にさらす可能性があります。顧客は銀行にデータを保護することを信頼しています」と彼はコメントしました。
ニールソンは続けて、「この攻撃は顧客情報を盗まなかったが、顧客がデータが危険にさらされる可能性があると恐れる場合、信頼への損害は大きくなる可能性があります。UBSのCEOの電話番号の公開は、攻撃者が被害者を恥じさせ、要求に応じるよう圧力をかけようとする例です」と述べました。
ImmuniWebのCEOであるイリア・コロチェンコ博士は、攻撃者によって盗まれたデータの種類が、銀行従業員になりすますソーシャルエンジニアリング攻撃を助長する可能性があると指摘しました。特にディープフェイクのような高度なツールの利用が増えていることを考えると。
「声やビデオを完璧に模倣できるGenAIツールの広範な利用可能性は、データ漏洩の結果を確実に増幅させる可能性があります。さらに悪いことに、盗まれたデータの一部は、銀行従業員を脅迫したり、洗練されたソーシャルエンジニアリング操作を通じて資金洗浄を促進するために悪用される可能性があります」と彼は述べました。
第三者のセキュリティが注目される
この事件は、複数の下流顧客に影響を与える可能性のあるサプライチェーン攻撃によってもたらされる脅威の増大を浮き彫りにしています。
Marks & Spencer(M&S)を含む英国の小売業者に対する最近の一連のサイバー攻撃の後、M&Sと協力している調査員は、Scattered Spiderが主要なITアウトソーシング企業であるTata Consultancy Services(TCS)からの資格情報を悪用してシステムに侵入したことを明らかにしました。
5月には、世界的なスポーツウェア大手Adidasが第三者の攻撃により顧客データが漏洩したことを明らかにしました。
これは、EUのデジタル運用レジリエンス法(DORA)などの規制が大きく注目している金融セクターにおいて特に懸念されています。
ニールソンは、「金融システムの相互接続性は、第三者のプロバイダーが大手銀行を狙うサイバー犯罪者の主要なターゲットであり続けることを意味します。銀行のような高度に規制された業界では、第三者を業務に統合する際に、最低限のセキュリティ運用基準を設定し、第三者の運用を監査し、積極的に監視することが重要です」と述べました。
画像クレジット: nitpicker / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/ubs-employee-data-exposed-third/