出典:Phanie – Sipa Press(Alamy Stock Photo経由)
大手マーケティングおよびPR会社がサイバー攻撃により機密性の高い従業員データを失いました。
米国に拠点を置く、上場日本企業である電通の子会社Merkleが、正体不明の脅威アクターによって侵害されたと、電通のウェブサイトで公開された情報開示で明らかになりました。Merkleは、カスタマーエクスペリエンスマネジメント(CXM)会社として最も知られています。
電通は、Merkleのネットワークで異常な活動を検知し、インシデント対応プロトコルを開始したと述べており、「同様の状況に対応した経験のあるサイバーセキュリティ会社」を招集したとしています。同社は「攻撃の封じ込めのための措置を講じ」、調査を開始したとも述べました。また、Merkleが電通UKリミテッドの一部門と見なされていることから、法執行機関および英国情報コミッショナー事務局(ICO)、国家サイバーセキュリティセンター(NCSC)にも通知しています。
電通従業員データが盗まれる
情報開示の中で、電通は現役および元従業員に関する情報を含む特定のファイルがMerkleのネットワークから盗まれたと述べています。「調査は継続中ですが、現時点でファイルには銀行口座情報や給与情報、給与額、国民保険番号、個人連絡先などが含まれていると予想されます」と電通は述べています。
同社は影響を受けた可能性のあるすべての従業員への通知を「試みており」、また「データの公表を防ぐための措置を講じた」としています。
攻撃の詳細は不明ですが、「封じ込めのための措置を講じた」や「データの公表を防ぐための措置を講じた」といった表現は、データ恐喝やランサムウェア攻撃と関連することが多いです。
Dark Readingは、今回の事件にランサムウェアが関与していたか、恐喝要求があったか、また同社または仲介者が恐喝金を支払ったかどうかについて電通に質問しました。広報担当者はこれらの質問に直接回答することを控えましたが、会社からの声明を提供しました。
声明は情報開示投稿の詳細を繰り返していますが、後者にはない詳細も含まれています。同社のインシデント対応プロトコルの一環として、電通は一時的に一部システムを予防的にオフラインにしました。その後、すべてのシステムは復旧し、稼働しています。
盗まれたデータについては、現役および元従業員以外にも及んでいるようです。
「調査により、Merkleのネットワークから特定のファイルが持ち出されたことが判明しました。これらのファイルには、一部のクライアント、サプライヤー、現役および元従業員に関する情報が含まれていたことが確認されました」と声明は述べています。「調査は継続中ですが、適用法に従い通知プロセスを開始しています。」
影響を受けた従業員を支援するため、電通は該当者に1年間のクレジットおよびダークウェブ監視サービスを提供しています。
情報開示では、盗まれたデータがフィッシング、なりすまし詐欺、その他のソーシャルエンジニアリング攻撃に利用される可能性があると警告しています。「影響を受けた可能性のあるすべての方に対し、現時点では金融口座明細を確認し、不正な活動がないか警戒を続けるよう推奨します」と電通は述べています。
常に迫るデータ窃取の脅威
企業が機密データを脅威アクターに失うことは珍しいことではなく、残念ながらすぐに解決する見込みもありません。
Wiz社のインシデント対応(IR)ディレクター、Shaked Tanchuma Yogev氏は、今回のようなインシデントではIRプロセスが迅速かつ計画的に進められる必要があるとDark Readingに語っています。
ほとんどの組織に対し、Wizは米国国立標準技術研究所(NIST)のフレームワークを推奨しており、これは準備(役割、責任、コミュニケーション計画、ツールの事前定義)、検知と分析(インシデントの発生と範囲の確認)、脅威に関する封じ込め・根絶・復旧、事後レビューなど複数のフェーズで構成されています。
データ窃取の場合、インシデントは法務チームの指導のもと進められ、Tanchuma Yogev氏によれば、法務チームは人事やサイバーセキュリティチームと連携して情報を分類し、盗まれたデータの機密性を判断します。その後、影響を受けた人への通知、組織所在地に応じた適切な法的手続き、認証情報などが漏洩した場合はシークレットのローテーションが行われます。
「インシデントはそれぞれ異なりますが、目標は常に同じです。被害を最小限に抑え、経験から学び、ビジネスの中心にある人とデータを守ることです」とTanchuma Yogev氏は述べています。
Sygnia社のサイバー準備およびインシデント対応のエンタープライズセキュリティ専門家、Matan Naftali氏は、同様の事態を防ぐため、組織は積極的なデータおよびアクセス管理を優先すべきだとDark Readingに語っています。これには、重要な人事・給与データの分類と保持期間の最小化、通信時および保存時の暗号化、最小権限の原則の遵守が含まれます。これらや他のベストプラクティスに加え、組織は「観測された戦術・技術・手順に合わせた定期的な脅威ハンティングを実施し、修正が有効かどうかを確認するためのレッドチーム検証も検討すべきです。」
