メイン州は、公式のデータ侵害報告ポータルに不正な侵害通知が送信され、州のウェブサイトに公開されたことを受け、同ポータルを一時的にオフラインにしました。今後の悪用を防ぐため、現在手続きの見直しを進めています。
昨日、BleepingComputerが報じたところによると、Discordおよびマルチプレイヤー型ソーシャルVRプラットフォームのVRChatを騙った虚偽のデータ侵害通知が、メイン州の公式侵害通知ポータルに送信されていたことが明らかになりました。
当時、VRChatはBleepingComputerに対し、この申告は不正なものであり、架空の従業員名を使って提出されたと説明しました。
メイン州司法長官室は金曜日に声明を発表し、データ侵害の「なりすまし報告(ホークス)」が州の報告システムを通じて提出されたことを認めました。
「メイン州司法長官室は、当局のデータ侵害報告システムが悪用されたとみられる事案を把握しました」と声明には記されています。
「被害企業のうちの1社であるVRChatと話し合いを重ねた結果、報告されたデータ侵害はいずれの企業とも無関係の未知の人物が虚偽報告として送信したものであることが判明しました。これらの虚偽報告はデータベースから削除済みです。VRChatおよびDiscordから最近、正当なデータ侵害報告が提出された事実は確認されていません。」
司法長官室は、今後同様の悪用を減らすための報告手続き見直しが完了するまでの間、侵害通知データベースへの一般アクセスを一時的に停止したと発表しました。
停止前は、提出された侵害通知が自動的に公開データベースに掲載される仕組みになっていました。
「私どもは侵害の内容について独自に確認する手段を持っておらず、提出者が入力した情報がそのままサイトに掲載される仕組みになっています。ご指摘いただいた件については確認いたします。ありがとうございました」と、メイン州司法長官室はBleepingComputerに対して述べました。
声明では、企業による侵害通知の提出は引き続き報告サービスを通じて受け付けるとしています。一方、開示内容のコピーを求める一般の方は、今後は司法長官室に直接連絡する必要があります。
メイン州のデータ侵害ポータルは、新たに開示されたセキュリティインシデントを監視し、各組織がサイバー攻撃や消費者に影響するデータ侵害を報告しているかどうかを確認するために、ジャーナリスト・研究者・脅威インテリジェンス企業などが広く利用してきました。
今回の事案は、自動公開される侵害開示の仕組みが、誤情報の拡散や企業の評判を傷つける目的に悪用され得ることを示しています。
VRChatの虚偽申告には、同社が240万人以上に影響するデータ侵害を受けたと記載されており、架空の担当者名も含まれていました。
BleepingComputerがこの申告についてVRChatに確認したところ、同社は開示内容が虚偽であり、メイン州当局への通知は自社では行っていないと述べました。
BleepingComputerはDiscordに対しても虚偽通知について問い合わせましたが、回答は得られませんでした。
州が一般アクセスを停止するまでに、ポータルを通じてどれほどの虚偽の侵害通知が提出されていたかは現時点では不明です。
攻撃者より先に、あらゆる防御層をテストする
セキュリティチームが把握できている攻撃成功は全体の54%に過ぎず、アラートが上がるのはわずか14%です。残りの脅威は検知されないまま環境内を動き回っています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMやEDRのルールを検証し、脅威の検知漏れをなくす方法を解説しています。
