Accellion Reaches $8.1 Million Settlement Over FTA Data Breach
2022/01/18 SecurityWeek — エンタープライズむけのコンテンツ・ファイアウォールを提供する Accellion は、レガシー・ファイル共有サービス FTA に関わる、データ流出をめぐる訴訟を終結させるために、$8.1 million の和解に達したと Reuters が報じている。2021年10月にブランド名を Kiteworks に変更した Accellion は、セキュアな電子メール/コラボレーション/コンテンツ・アクセス/ファイル共有/エンタープライズ・アプリ共有機能などの、いくつかのサービスを提供している。
20年来のレガシー・サービスであり、2021年4月に引退したAccellion FTA が、2020年12月中旬〜2021年1月にサイバー攻撃の対象となり、Accellion の複数の顧客でデータが漏洩した (同社では、影響を受けた顧客は 100社未満としている) 。
このサイバー攻撃は、金銭的な動機を持つ APT (Advanced Persistent Threat) アクターである FIN11 によるものとされている。FIN11 は、ロシアで活動しており、TA505 のスピンオフ組織であると考えられている。
このインシデントの被害者となった組織としては、オーストラリア証券投資委員会 (ASIC)、ビジネスジェット機メーカーの Bombardier、法律事務所の Jones Day、食料品/薬局チェーンの Kroger、投資銀行の Morgan Stanley、ワシントン州監査役室 (SAO)、サイバーセキュリティ企業の Qualys、ニュージーランド準備銀行、精油企業の Shell、シンガポールの通信企業 Singtal、カリフォルニア大学 (UC) などが挙げられている。
プロフェッショナル・サービス企業の KPMG は 2021年5月に、Accellion が 2020年12月のサイバー攻撃で悪用されたゼロデイ脆弱性を、顧客に通知していなかったとする報告書を発表した。
また、Accellion は、顧客たちから託された機密情報の保護を怠ったという主張にも直面していることが、カリフォルニア州の連邦裁判所に提出された和解書類で明らかになった。漏洩した情報には、氏名/生年月日/医療情報/運転免許証/社会保障番号などが含まれているという。Reuters によると、この和解案は、Accellion に対する訴訟のみを解決するもので、インシデントの影響を受けた Accellion の顧客からの訴訟は、解決しないとのことだ。これらの顧客からの訴訟では、合意が保留されている。
このブログが始まったのは、2021年4月なので、この Accellion のインシデントはフォローしていません。被害を受けた組織を見ても大手が揃っているので、信頼しているサービスに裏切られたという出来事なのでしょう。ゼロデイ脆弱性を、顧客に通知していなかったというのは、マズイですよね。訴訟に関するトピックとしては、2021年7月の「British Airways のデータ侵害で記録的な弁償金が支払われる」や、12月の「Clearview の顔認識は違法:英当局は £17 Million の罰金を課すのか?」などがあります。よろしければ、ご参照ください。
IoT OT Security News 