Zurich and Mondelez Reach NotPetya Settlement, but Cyber-Risk May Increase
2022/11/03 InfoSecurity — Zurich American Insurance と製菓大手 Mondelez International の間で生じた、2017年の NotPetya サイバー攻撃に関連する、$100m の請求に関する論争に決着がついた。この訴訟は、サイバー攻撃に関連する戦争の状況と、保証の除外のテスト・ケースとして注目を集めていたが、イリノイの州裁判所で4年間続いた争いの末に和解が成立した。
MyCena Security Solutions の CEO である Julia O’Toole は、「多くの人々の注目を集めていた Zurich と Mondelez International の訴訟は、国家に支援されたサイバー侵害行為に関する、将来の保険請求の取り扱いにおける道を開いた」と、InfoSecurity に語っている。
Law360 の裁判文書によると、この問題において当事者は相互に解決したが、和解の詳細は明らかにされていない。
当初、Mondelez は、2017年の NotPetya インシデントに関連する約 $100m の損失を、 “all-risk” 損害保険で請求しようとした。このインシデントでは、同社のサーバ 1700台/ノートパソコン 2万4000台が、マルウェアにより被害を被り、流通と顧客に混乱が生じたとされている。
脅威アクター NotPetya は、ロシアと関連があった。そのため Zurich は、政府/主権国家/代理人などによる敵対的または戦争的行動により引き起こされ、その結果生じた損失または損害を除外するという、保険の戦争除外条項を提示した。
Mondelez への攻撃を契機に、Zurich は沈黙を破り、従来の保険契約におけるサイバー補償を排除する動きを見せたのだ。
O’Toole は、「Mondelez と Merck に対する法廷闘争が拍車をかけたことで、この数カ月の間に、国家に支援されたサイバー攻撃を除外する方向へと向けて、それぞれの保険会社は契約の変更を発表した。もはや保険会社には、サイバー犯罪をカバーする余裕はなく、今後の数カ月における争点として、ネットワークへのアクセスと、ネットワークのセグメンテーションに焦点が当てられるだろう」と指摘している。
彼は、「それぞれの組織がユーザー・アクセス情報を、いまよりも適切に管理し、攻撃者が簡単にアクセス情報を盗めないようになることを望んでいる」と述べている。
そのためには、企業がセグメンテーション戦略に注力し、暗号を用いてネットワークのセグメント化を強固にすることで、たとえ認証情報が悪用されたとしても、ネットワークを介したデータ窃取を阻止する必要がある。
O’Toole は、「将来的に、こうしたアプローチに従わない企業は、保険への加入が困難になり、また、現行の保険が無効になることに、気づくかもしれない」と結論付けている。
製菓会社である Mondelez への NotPetya の攻撃について、そして、 製薬会社である Merck に対するサイバー侵害について、長年にわたる係争があり、そろそろ結審するタイミングだったのですね。戦争に関連するサイバー保険の免責ですが、3月24日の「サイバー保険の現状:ウクライナ侵攻と戦争免責の関係は慎重に考えるべき」と、8月24日の「Lloyd’s 保険が新たな免責条項を採用:国家支援サイバー攻撃を補償から除外」に、現状が詳しく記されていますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.