UK Electoral Commission discloses a data breach
2023/08/08 SecurityAffairs — 英国の選挙管理委員会は、英国内の有権者の個人情報が流出するデータ侵害が 2014〜2022年の間に発生していたことを公表した。また、同委員会は ICO (Information Commissioner’s Office) への通知を行っている。8月8日に同委員会は 、「今日、私たちは複雑なサイバー攻撃の対象となり、我々のシステムが脅威アクターによる不正アクセスを受けた」と Twitter で発表した。セキュリティ侵害が始まったのは 2021年8月と見られており、発見されたのは 2022年10月のことだという。
データ侵害の通知には、「選挙管理委員会は、GDPR (General Data Protection Regulation) の第33条/第34条に基づき、当委員会のシステムへの不適切なアクセス/紛失/盗難によりデータが侵害された場合には、対象者に通知する義務を負っている。このインシデントは、2022年10月に当委員会のシステム上で不審な活動が検知されたことから判明した。脅威アクターが、最初にシステムにアクセスしたのは、2021年8月だったことが判明した」と記されている。
データ漏洩の通知によると、この脅威アクターは、欧州委員会のメール/制御システム/選挙人名簿のコピーなどを保管するサーバーにアクセスしていたという。さらに、選挙人名簿の参照用コピーにもアクセスが行われたが、この情報は、調査目的や政治献金の許容性をチェックするために、欧州委員会が保有しているものだ。
メールシステムに保管されていた有権者の個人情報には、下記のデータが含まれる:
- 氏名
- 姓名
- 個人や事業所のメールアドレス
- Web フォームやメールに含まれていた場合の自宅住所
- 個人や事業所の電話番号
- 個人情報を含む可能性のある Web フォームやメールの内容
- 欧州委員会に送信された個人画像
また、選挙人名簿に記載される個人情報には、氏名/姓名/住所/その年に選挙権を取得した日付などが含まれる。英国選挙管理委員会は、選挙人名簿のデータには、英国外で登録された在外選挙人の匿名登録や住所は含まれていないとしている。
同委員会は、今回のサイバー攻撃は選挙や個人の有権者登録には何の影響も与えなかったと説明し、事件を軽視しようとした。インシデントの通知は、「ICO による、データ漏洩被害を評価するためのリスク・アセスメントによると、選挙人登録簿に保持されている名前や住所などの個人情報は、それ自体が個人に高いリスクをもたらすものではない」と続いている。
しかし欧州委員会は、脅威アクターがアクセスした情報を、一般に公開されている他のデータと組み合わすというケースが有ることも認めている。そのような事態になれば、さらなる個人情報の窃盗やフィッシング攻撃などの広範な詐欺行為に、この集約されたデータが悪用されることになる。したがって、影響を受けた個人は、不審なメールに引き続き警戒する必要がある。
この通知には、「今回の攻撃は、選挙プロセスには影響を与えず、いかなる個人の権利や民主的プロセスへのアクセスにも影響を与えず、また選挙人登録状況にも影響を与えていない」と結んでいる。その一方で、欧州委員会も、データ流出に関する FAQ ページを公開している。
さまざまな組織やプラットフォームで、データ侵害が発生しています。そして、この英国の選挙管理委員会のケースですが、記事を読む限り、脅威アクターの身元などは分かっていません。データ侵害が、さらに、新たなデータ侵害を引き起こすという悪循環が止まりませんね。よろしければ、カテゴリ DataBreach を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.