Eight US financial services firms given six-figure fines over BEC data breaches
2021/09/01 DailySwig — 米国証券取引委員会 (SEC : Securities and Exchange Commission) は、サイバー・セキュリティの不備により企業の電子メールア・カウントと数千人分の個人情報が漏洩したとして、複数の金融サービス企業に制裁を科した。このインシデントは、シアトルに本社を置くKMS Financial Services および、カリフォルニアの Cetera Financial Group と、アイオワの Cambridge Investment Group の子会社において、クラウド・ベースの電子メール・アカウントが不正に乗っ取られたことを受けて提起された。
問題となった Cetera の事業体は、Cetera Advisor Networks、Cetera Investment Services、Cetera Financial Specialists、Cetera Advisors、Cetera Investment Advisers となる。この BEC (Business Email Compromise) の調査対象となった Cambridge の事業体は、Cambridge Investment Research と Cambridge Investment Research Advisors である。
財務上の罰則
SEC は、8月30日 (月) に発表したプレス・リリースの中で、8社の投資顧問会社およびブローカー・ディーラーは、告発内容を認めることも否定することもなく、「今後、告発された条項に違反する行為を中止し、検挙され、罰則金を支払うことに合意した」と述べている。Cetera は $300,000、Cambridge は $250,000、KMS Financial Services は $200,000 を支払うことになる。
このメール・アカウントの乗っ取りは、2017年11月〜2020年6月に、侵害された 60人以上の従業員アカウントを介して、少なくとも 4,388人 の Cetera 顧客/クライアントの個人識別情報が漏えいしたというものである。また、Cambridge の顧客 2,100名以上のデータは、2018年1月〜2021年7月に 121個以上の侵害された電子メール・アカウントを介して漏えいした可能性がある。KMS の場合は、2018年9月〜2019年12月に、15個の侵害された電子メール・アカウントを介して約 4,900名の顧客個人情報が漏洩している。
セキュリティ上の欠点
SEC は、Cetera Advisors と Cetera Investment Advisers が、実際よりも遥かに早く通知が発行されたという、誤解を招くような侵害通知を顧客に送ったとしている。また、Cambridge Investment Group が、2018年1月に最初のメール・アカウントの乗っ取りを発見した後に、クラウ・ドベースのメール・アカウントのセキュリティを強化しなかったことも判明した。そして SEC は KMS に対して、2020年5月まで会社全体におけるセキュリティ対策を強化すべきという、書面で要求された方針と手順を採用しなかったこと、さらには、2020年8月まで完全に実施しなかったことについて問責している。
SEC 執行部の Cyber Unit Chief である Kristina Littman は、「投資顧問会社とブローカー・ディーラーは、顧客情報の保護に関する義務を果たさなければならない。特に、既知の攻撃に直面しているにもかかわらず、それらの要件が実施されない場合や、部分的にしか実施されていな場合には、セキュリティ対策の強化を要求するポリシーだけでは不十分だ」と述べている。
猛烈なブーム
今回の SEC による制裁措置と同時に、ブルートフォース攻撃が急増しているというニュースがあった。ブルートフォース攻撃とは、様々な認証情報の組み合わせを、標的となるアカウントのログインページへ向けて、自動的かつ高速で送り込むというものだ。Abnormal Security の Q3 2021 Email Threat Report によると、2021年6月6日からの1週間で、ブルートフォース攻撃の発生率は前週比 671% 増となり、様々な分野における 32.5% の組織が。ブルートフォース攻撃を受けたとのことだ。また、認証情報を盗むことを目的としたフィッシング攻撃も大幅に増加しており、今期の高度な脅威全体の 73% を占めている。
さらに、2021年 Q2 には、企業の役員が所有する 10万個のメール・ボックスのうち、137個が乗っ取られたことが判明した。Abnormal Security の CEO である Evan Reiser は、「このような社会的に操作された攻撃では、セキュアとされる電子メール・ゲートウェイや、従来からの電子メール・インフラが容易に回避されるため、従業員やベンダーにおける ID/関係性だけではなく、コンテンツやトーンなどのコンテキストを包括的に理解し、良好な行動の基準とすべきだ」と、促しましている。
BEC : Business Email Compromise は怖いですね。ビジネス上の権限と責任を持つ人をターゲットにして、社内のフローやコンテキストを分析した上で、ピンポイントで考える時間を与えないように攻撃してきます。対処法に関しては、「ビジネスメール詐欺 (BEC) を阻止するためのベスト・プラクティスとは?」をご参照ください。ただ、この記事の主題は、被害を受けたときの情報開示の重要性です。日本って、このあたり、どうなんっているのでしょうかね?
IoT OT Security News 