66
犯罪者がThreeのアップグレードシステムにアクセスし、13万件以上のアカウントを侵害

イギリスのバンベリーにあるThreeストア

イギリスのバンベリーにあるThreeストア

英国のISPであるThreeは、犯罪者が従業員のログイン情報を利用して同社の携帯電話アップグレードシステムにアクセスしたと発表しました。このアクセスを利用して、顧客にアップグレードとして送付されるはずだった携帯電話が盗まれ、その過程で13万3000件以上のアカウントの個人情報が漏洩しました。

3つの不正アクセス

ThreeのCEO、デビッド・ダイソン氏の公式声明によると133,827件の顧客アカウントが侵害されたとのことです。また、これらのアカウントに関する以下の情報が漏洩した可能性があることも明らかにしました。

アップグレードシステムの調査により、107,102人の顧客について、以下の情報が取得できた可能性があることが判明しました:携帯電話またはSIMのみの顧客であるか、契約の開始日と終了日、携帯電話の種類、Threeアカウント番号、Threeの利用期間、請求書の支払いが現金かカードか、請求日と氏名。さらに26,725人の顧客については、以下の情報が取得できた可能性があります:氏名、住所、生年月日、性別、携帯電話の種類、契約の開始日と終了日、携帯電話またはSIMのみの顧客であるか、電話番号、メールアドレス、以前の住所、婚姻状況、雇用状況、Threeアカウント番号と電話番号、Threeの利用期間。

ダイソン氏は、問題のアップグレードシステムには銀行口座情報、パスワード、暗証番号、支払い情報、クレジットカード/デビットカード情報は保存されておらず、犯罪者がアクセスすることはなかったと指摘した。ThreeのCEOはまた、彼らの主な目的は単に情報を盗むことではなく、その情報を利用して高級スマートフォンを不正に入手することだった可能性があると考えている。

同社は、過去1ヶ月間に発生した盗難の急増が不正アクセスに関連している可能性があると認識している。これまでに複数の強盗事件で400台のハイエンドスマートフォンが盗まれた。また、Threeは、アップグレード活動を通じて8台のデバイスが不正に入手されたことも確認している。
同社は警察と連携しており、既に3人の容疑者が逮捕された模様だ。ダイソン氏は、影響を受けた顧客全員に連絡を取り、アカウントのセキュリティを強化すると付け加えた。

EU企業はデータ侵害に対する責任を強化へ

昨年、英国の別のISPであるトークトークは、ウェブページに単純な脆弱性を放置し、悪意のあるハッカーがそれを利用して15万7000件のアカウント情報を盗んだとして、記録的な40万ポンドの罰金を科された。

これはISPのデータ漏洩に対する記録的な罰金ですが、2018年に欧州連合(EU)の一般データ保護規則(GDPR)が施行されれば、ISPやその他の企業は、単純なデータ漏洩を放置した場合、売上高の最大4%に相当する、はるかに高額な罰金を支払うことになる可能性があります。その頃には、英国は最近可決されたEU離脱の国民投票の結果、既にEUを離脱している可能性があります。しかし、「ブレグジット」完了後も英国企業がEU内で事業を継続するのであれば、これらの新しい規則に従わなければなりません。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

内部脅威

企業は、システムのセキュリティ強化に伴い、従業員がより大きな標的となる可能性があることに気づき始めるかもしれません。犯罪者はシステムを直接攻撃するのではなく、従業員のセキュリティ認証情報を利用してアクセスを試みるかもしれません。認証情報へのアクセス権限が多ければ多いほど、標的はより厳しくなります。場合によっては、従業員自身が自らの目的のために不正行為を行い、情報を盗み出すこともあります。

Googleは、BeyondCorpセキュリティインフラにおいて正しい考えを持っていたようだ。BeyondCorpは、従業員がアクセスを許可されたサービスとツールのみにアクセスできることを可能な限り制限することを目指している。また、Googleは社内ネットワークをインターネットとして扱うため、デバイスは簡単に信頼できず、すべてのトラフィックが暗号化される。

データ侵害は、攻撃者が企業のファイアウォールを突破すれば機密情報へのアクセスが容易になるため、頻繁に発生します。企業は、Googleが行ったように、従業員や社内デバイスへの信頼度を再考し、将来の攻撃への対応力を向上させる必要があります。

トムズ ハードウェアへの声明の中で、データ管理コンサルティング会社インフォマティカの副社長グレッグ ハンソン氏は、企業は機密データへのアクセスをさらに制限し、それがどこに保存されているかに関係なくそれを保護する必要があることに同意しているようです。

Three社のデータ侵害は、企業がデータセキュリティの現状に早急に取り組む必要性を浮き彫りにしました。すべてのデータは、保存場所や形式に関わらず保護されなければなりません。今回のケースでは、攻撃者は有効なログイン情報を使用してアクセスに成功しました。これは、企業がこの種の重要な情報を守るためには、機密データの定義を拡大する必要があることを明確に示しています。企業は、損害抑制の考え方から脱却し、機密情報を深く理解し、データ中心のセキュリティを実装し、組織内のどこに移動しても機密情報を保護できるようにする必要があります。企業が貴重な資産がどこから発生し、増殖し、保管されているかを正確に把握しなければ、データの制御を失う可能性が極めて高くなります。そして、Three社の侵害が証明しているように、企業は内部からの攻撃にも備えなければなりません。

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Hardware
Posted by Lorlink