テキサス州公園野生動物局(TPWD)は、ライセンスシステムのベンダーで発生したデータ侵害を公表しました。この事件により、300万人以上の個人情報が流出しています。
テキサス州サイバーコマンドが不正アクセスを検知し、被害の範囲と影響を把握するための調査を開始しました。州当局の調査によると、社会保障番号(SSN)、生年月日、クレジットカードなどの金融情報への影響はなかったと確認されています。
ただし、脅威アクターは狩猟・釣りライセンスの顧客3,087,721人に関する以下の個人識別情報を取得した可能性があります。
- 運転免許情報
- パスポート番号
- メールアドレス
- 電話番号
- 住所
流出したデータは、攻撃者が被害者をフィッシングやソーシャルエンジニアリング攻撃のターゲットにするには十分な情報量です。マルウェア配布サイトへの誘導や、さらに機密性の高い情報の詐取に悪用される恐れがあります。
「18歳未満の顧客が関与していた証拠や、特定のグループが標的にされた証拠はありません」と、TPWDはデータ侵害通知の中で述べています。
TPWDは、野生生物・水産資源の管理、州立公園、保全プログラム、狩猟・釣り規制、ボート登録、およびテキサス州ゲームワーデンによる取締りを担うテキサス州機関です。
同州機関は狩猟・釣りのライセンスや許可証の発行も行っており、これらは外部ベンダーを通じて販売されています。
BleepingComputerはTPWDに対してインシデントの詳細および当該サードパーティサービスプロバイダの名称を問い合わせていますが、現時点で回答は得られていません。
同局は「ライセンスシステムベンダーと緊密に連携し、新たなセーフガードと強化されたモニタリングサービスの導入に取り組んでいる」としています。
TPWDは、顧客に対してクレジットレポートや金融取引明細書を継続的に監視するよう呼びかけています。影響を受けた個人は1年間の無料クレジットモニタリングを利用でき、なりすまし被害への追加対策として、主要な信用情報機関へのクレジットフリーズや不正アラートの申請も検討することが推奨されています。
また、フィッシングやなりすまし詐欺への警戒も強く求められています。脅威アクターが企業や公的機関を装って連絡を取ってくる可能性があるためです。
攻撃者より先に全防御層をテスト
セキュリティチームが実際の攻撃を検知できているのは成功した攻撃の54%に過ぎず、アラートが上がるのはわずか14%です。残りの攻撃は環境内を気づかれることなく進行しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMおよびEDRのルールをテストし、脅威の検知漏れを防ぐ方法を解説しています。
