- メイン州司法長官の侵害報告ポータルが、DiscordとVRChatを装った偽通知で悪用される
- 公開受付システムを通じて虚偽報告が提出され、その後デマと確認されて削除
- 調査のためポータルをオフライン化、企業の提出は継続可能だが一般公開アクセスを停止
メイン州司法長官室は、複数の偽りの情報開示がウェブサイトに掲載されたことを受け、報告ポータルをオフラインにせざるを得ない状況となりました。
このデータ侵害通知ポータルは、法律で義務付けられたデータ侵害通知を受け付ける公開窓口です。メイン州の住民に影響を与える侵害が発生した場合、組織はメールや郵便を送る代わりに、このポータルを通じて通知を提出できます。提出された通知は司法長官室が審査し、通常はサイトに公開されるため、住民に影響を与えた確認済みの事案を一般市民が確認できる仕組みとなっています。
しかし最近、DiscordおよびVRChatになりすました偽の情報開示がプラットフォームに掲載されました。後者のVRChatは、申告が架空の従業員名を使って提出されたとする声明を発表しています。
ポータルの停止
その後まもなく、メイン州司法長官室はこれらの報告を確認し、偽の申告が州の報告システムを通じて提出されたことを明らかにしました。
「メイン州司法長官室は、当室のデータ侵害報告システムが明らかに悪用されているとの情報を把握しています」と声明の中で述べています。
「影響を受けた2社のうちの1社であるVRChatとの協議の結果、報告されたデータ侵害はいずれの企業とも無関係の不明な主体が提出したデマであることが明らかになりました。これらの虚偽の報告はデータベースから削除しました。VRChatおよびDiscordから最近、正規のデータ侵害報告が提出された事実はありません。」
同様の悪用を防ぐため、メイン州司法長官室は調査を開始し、ポータルへの一般公開アクセスを一時停止しました。
「当室では侵害についての独自の情報を持ち合わせておらず、提出者が情報を入力するとそのままサイトに反映される仕組みです。ご指摘いただいた件については確認いたします。ありがとうございました」と、メイン州司法長官室はBleepingComputerに対して伝えました。
企業は引き続き報告サービスを通じて侵害通知を提出できますが、情報を求める一般市民は直接、同室に問い合わせる必要があります。
