偽報告を受け、メイン州がデータ侵害ポータルを一般公開停止
メイン州が公開していたデータ侵害報告ポータルが、偽の侵害通知が2件投稿されたことを受け、一般向けに閉鎖されました。
偽の通知の一つは木曜日に、実在しないVRChatの従業員の名義で投稿され、同バーチャルリアリティソーシャルプラットフォームの240万人の顧客情報が侵害されたと主張するものでした。この件は報じられています。
同社によれば、この侵害報告は偽のVRChatのレターヘッドを使って提出されたとのことです。Discordに関する偽の侵害通知も投稿されていました。
メイン州司法長官室のプレスリリースによると、メイン州は引き続き企業からの侵害報告を受け付けていますが、再発防止のための手続き審査が完了するまで、ポータルを一般向けに公開しない方針です。
プレスリリースによれば、一般市民は同事務所に連絡することで、侵害に関する「既存の報告」について照会できるとのことです。
プレスリリースでは、これらの通知を「デマ」と表現したうえで、偽の報告は削除済みであり、いずれの企業からも「最近の正当なデータ侵害報告については把握していない」と述べています。
「このような悪用が今後起きにくくなるよう手続きを見直すとともに、情報の一般公開を維持できるよう取り組んでいます」とプレスリリースは述べています。「一般向けデータベースは、それまでの間オフラインのままとします。」
メイン州の報告ポータルは、セキュリティ研究者や記者、脅威インテリジェンスに携わる企業にとって貴重なリソースとなっており、一般公開が停止されることでこれらのコミュニティへの影響が懸念されます。
このポータルは悪用されやすい構造になっており、これまで企業が審査なしに通知を掲載できる仕組みになっていました。
さらに多くの不正な通知が投稿された可能性もありますが、メイン州が被害対象として発表したのはDiscordとVRChatのみです。
VRChatは声明を発表し、偽の通知の削除要請に対してメイン州の対応が迅速ではなかったと述べました。
「最善を尽くしたにもかかわらず、この通知は数時間にわたって掲載され続けました」と声明には記されています。
「私たちのデータおよびシステムが侵害されたと考える理由はなく、データ侵害に関する公式な通知を提出した事実もないことを明確にしたいと思います。」
この偽投稿についての報道は、Bleeping Computerが最初に行いました。
VRChatとDiscordはコメントの求めに応じませんでした。
翻訳元: https://therecord.media/maine-turns-off-breach-portal-fake-reports
