米国最大のプロパンガス事業者が8秒間のデータ侵害に遭った

Largest US propane distributor discloses ‘8-second’ data breach

2021/06/15 BleepingComputer — 米国最大のプロパンガス供給会社である AmeriGas は、一時的なデータ流出が生じたことで、123人の従業員に影響を与えたと公表した。AmeriGas は、米国の 50州で 200万人以上の顧客にサービスを提供しており、2,500以上の販売拠点を持っている。

この 6月に AmeriGas は、ニューハンプシャー州司法長官事務所に、データ漏えいに関する報告を行った。ただし、今回のデータ漏えいは、Department of Transportation (DOT) コンプライアンス・サービスを AmeriGas に提供する、J.J.Keller というベンダーに責任があるものだった。J. J. Keller は、このコンプライアンス・サービスとして、運転記録のチェックや、運転手の薬物・飲酒の検査といった、DOT が課す規制に沿ってチェックを行っている。5月10日に J. J. Keller は、同社の電子メール・アカウントに関連する疑わしい動きを検出した。このベンダーは直ちにネットワークの調査を開始し、同社の従業員がフィッシング・メールの被害に遭い、アカウントが侵害されていることを発見した。

きわめて短い時間であったが、従業員のアカウント内にある特定のファイルを、脅威アクターが閲覧することを許してしまった。この従業員のアカウント情報をリセットした後に、J.J.Keller は侵害の全容を明らかにするために、直ちにフォレンジック調査を開始した。5月21日に J. J. Keller は AmeriGas に対して、8秒間の侵害時間に攻撃者が閲覧したファイルの中に、AmeriGas 従業員 123人の記録が含まれていることを通知した。

この記事によると、AmeriGas は今年2度目のデータ漏えい事件を引き起こしたことになります。2021年3月に AmeriGas は、顧客のクレジットカード情報が悪用された可能性があると公表し、同社のカスタマー・サービス担当者を解雇したとのことです。AmeriGas によると、同社のカスタマー・サービスに電話をかけてきた顧客が、口頭でクレジットカード情報を開示し、その情報を不正に使用された可能性があるとのことです。なんというか、本文の方のデータ流出よりも、こっちの方が深刻ですねと思い、一般社団法人日本クレジット協会を調べてみたら、2020年度の被害総額は 251億円とのことでした。ただ、これは、明るみに出た被害総額であり、知らない間に・・・というのを含めると、こんなものでは無いだろうなぁと思ってしまいます。

%d bloggers like this: