ランサムウェアは大きなビジネスとなっています。なぜなら、被害を受けた組織がデータを取り戻すためにお金を支払い続けているからです。しかし、先週脅迫者による攻撃を受けた決済サービスプロバイダーのCheckout.comは、身代金を支払う代わりに、要求された金額をサイバー犯罪研究の資金として寄付しました。
そして—脅迫者の要求を拒否したこと以上に異例なのは—最高技術責任者(CTO)のマリアーノ・アルベラ氏が、自社がこのセキュリティインシデントに「全面的な責任」を負うと述べ、この侵害を許してしまった状況について謝罪したことです。
「申し訳ありません。このインシデントがパートナーや関係者にご心配をおかけしたことを遺憾に思います」とアルベラ氏は水曜日のブログで述べました。
「私たちは犯罪者による脅迫には屈しません」と彼は付け加えました。「この身代金は支払いません。」
CTOによると、ShinyHuntersが先週同社に連絡し、データを盗んだと主張して身代金を要求したとのことです。アルベラ氏は、犯罪者がファイルと引き換えにどれほどの金額を要求したかは明らかにせず、Checkout.comもThe Registerからの問い合わせに対してコメントを控えました。
独自の内部調査を開始した結果、決済サービス会社は、犯人が「適切に廃止されていなかったレガシーのサードパーティ製クラウドファイルストレージシステム」に侵入したことを突き止めました。このシステムは2020年以前に使用されていました。
ShinyHuntersがどのサードパーティ製ストレージシステムに侵入してCheckout.comのデータにアクセスしたのかは依然として明らかにされていませんが、この犯罪グループは昨年Snowflakeの顧客データベースに侵入したことで知られています。最近では、このグループが多数の組織のSalesforceデータベースを侵害しました。
アルベラ氏によれば、Checkout.comは2020年以前にこの侵害されたクラウドデータベースを「社内の業務文書や加盟店のオンボーディング資料」に使用しており、侵害の影響を受けたのは既存加盟店の25%未満だったとのことです。
「このインシデントは当社の決済処理プラットフォームには影響していません」と彼は記しました。「脅威アクターは加盟店の資金やカード番号にアクセスしたことはなく、今後もありません。」
同社は、顧客やパートナーに対してセキュリティ上の不手際を謝罪するとともに、影響を受けた顧客への連絡を進めており、「法執行機関および関係当局と緊密に連携」しています。
さらに、犯罪者の要求に屈する代わりに、アルベラ氏は、同社が身代金相当額をカーネギーメロン大学およびオックスフォード大学サイバーセキュリティセンターに寄付し、サイバー犯罪研究を支援すると述べました。
「セキュリティ、透明性、信頼は私たちの業界の基盤です」と彼は記しました。「私たちは自らの過ちを認め、加盟店を守り、デジタル経済を脅かす犯罪者との戦いに投資します。」
Checkout.comが調査を終えた後、今後数週間以内に詳細な検証報告が出ることが期待されますが、私たちは同社と経営陣が責任を持ち、謝罪し、犯罪者のビジネスに資金を提供しなかったことを称賛します(もっとも、その選択—支払うか否か—は被害組織の業種など複数の要因に依存し、最終的には生死に関わる決断となり得ることも理解しています)。
しかし、ランサムウェア攻撃やその他のセキュリティインシデントの後に私たちがよく目にする嘘やでたらめ、そしてマーケティングのたわごとの数々を思えば、Checkout.comから少しでも真実と透明性が示されたことは新鮮であり、他の企業も見習ってほしいと願います。®
