メイン州司法長官室は、虚偽の申告を受けてデータ侵害ポータルを一時的に停止したと発表しました。
メイン州は、データ侵害を経験した組織が当局へ報告する際、州内の被害者数だけでなく全米での被害者総数の申告を義務付けている、数少ない米国の州の一つです。
このウェブサービスは停止時点で、2020年半ば以降に報告された約6,000件のインシデントを収録していました。データベースの各エントリには多くの場合、被害者の総数が記載されており、データ侵害の影響と規模に関する重要な情報が提供されていました。
今回の停止の引き金となった虚偽のデータ侵害報告は、オンライン仮想世界プラットフォームのVRChatと、人気コミュニケーションプラットフォームのDiscordを標的にしたものでした。
VRChatは、同社名義で提出された侵害通知——ユーザー240万人が影響を受けたと主張するもの——が虚偽であると説明するブログ記事を公開しました。
「私どものデータおよびシステムが侵害されたと信じる理由は一切なく、データ侵害に関する公式通知を提出した事実もないことを明確にしたい」とVRChatは述べています。
「調査の結果、この通知は身元不明の第三者によって提出されたことが明らかになりました。実在しない人物の名前と連絡先情報を用い、偽造されたVRChatのレターヘッドで作成されたものです」と同社は付け加えました。
Discordのケースでは、プラットフォームのユーザー1,000万人がデータ侵害の影響を受けたと主張する通知が、メイン州司法長官宛てに提出されました。この申告には、虚偽である可能性を示す複数の危険信号が含まれていました。
Discordは昨年データ侵害を開示していましたが、それが1,000万人に影響を及ぼしたという証拠はありません。同社はインシデントが明らかになった際、約70,000人分の政府発行IDのコピーが流出したことを認めています。
メイン州司法長官室はデータ侵害ポータルを停止した際に発表した声明の中で、VRChatとDiscordに関する虚偽の報告をホークス(悪質ないたずら)と表現しました。
「情報の公開性を維持しながら、こうした悪用を将来的に起こりにくくするための手続きを見直しています。それまでの間、一般向けデータベースはオフラインのままとなります」と司法長官室は述べています。
なお、この間も組織はメイン州司法長官室へのデータ侵害報告を引き続き提出できます。
翻訳元: https://www.securityweek.com/maine-disables-data-breach-portal-due-to-fake-submissions/
