データ侵害は、当初報告された数字を超えて拡大する傾向があります。組織は必ずしもすぐには深刻な状況に陥っているとは限らず、調査には時間がかかり、新たな被害者は混乱の中から発見されることもあります。カリフォルニア州パロアルトに拠点を置くクラウドプロバイダーであるAccellionは、12月にかなり壊滅的なサイバー攻撃を受けたようですが、まさにその通りです。
要約すると、12月23日、Accellion社のセキュアファイル転送アプリケーションに存在するゼロデイ脆弱性を突いたハッカーが、同社の顧客データに侵入したことが判明しました。FTAは20年前に発売された老朽化した製品で、同社は4月に正式にサポート終了を予定していました。大量のデータ転送を処理するために特別に設計されたこのアプリケーションは、ハッカーが数十社もの企業に関する膨大な情報にアクセスできた可能性がありました。データが実際に盗まれたかどうかは不明ですが、現時点では状況は明らかに芳しくありません。
同社は当初、脆弱性は72時間以内に修正されたと主張していましたが、その後、新たな脆弱性が発見され、12月後半から1月前半にかけて攻撃が継続していたことを説明する必要がありました。2月1日に同社が提供した最新の公式アップデートでは、「攻撃者が悪用した既知のFTA脆弱性をすべて修正し、これらの攻撃ベクトルに関連する異常を検知するための新たな監視およびアラート機能を追加しました」と述べていました。
これらすべてから、当然次のような疑問が浮かび上がります。「このデータ侵害は一体どれほどの規模だったのか?」
12月以降、企業、大学、銀行など、様々な団体が、この情報漏洩への関与を徐々に明らかにし始めています。今のところ、Accellionの顧客のうち、どれだけの企業が影響を受けたのか、また長期的な影響がどうなるのかは不明です。世界中の約3,000社のグローバル企業や政府機関にサービスを提供しているという同社は、1月には「50社未満」の企業がこのインシデントの影響を受けたと主張していました。しかし、この数字は増加しているようです。木曜日、影響を受けた顧客の全リストを尋ねられたAccellionの担当者は、メールで、現在も調査中であると述べました。
Accellionは、業界をリードするサイバーセキュリティフォレンジック企業と協力し、FTAデータセキュリティインシデントの徹底的な評価を実施しています。評価が完了次第、詳細をお知らせいたします。お客様保護のため、特定のお客様についてはコメントを控えさせていただきます。影響を受けたすべてのFTAのお客様と協力し、今回のインシデントの影響を把握・軽減し、最新のKiteworksコンテンツファイアウォールプラットフォームへの移行を速やかに進めてまいります。
しかし、50よりはるかに大きな数字、300という新たな数字が出回っているようです。これはコロラド大学が最近発表したクライアント数の概算値で、同大学は今週、「攻撃の影響を受けた約300社のAccellion顧客のうちの1社」であると主張しました。木曜日にメールで連絡を取ったAccellionの担当者は、この数字についてコメントしませんでした。しかし、大学の担当者は、この数字はAccellionから得たものだと述べました。
シンガポールに拠点を置く通信コングロマリット、シングテルも木曜日、影響を受けた可能性がある企業の一つであることを明らかにした。シンガポールには同種の大手通信会社が数社あるが、同社はアクセリオンを「社内および社外のステークホルダーとの情報共有に使用するスタンドアロンシステム」として使用していたものの、一部の顧客データが漏洩した可能性があると述べた。「現在、アクセスされた可能性のあるデータの性質と範囲を確認するため、極めて緊急に影響評価を実施しています。顧客情報が漏洩した可能性があります」と同社は述べた。
抗マラリア薬の試験に携わるオーストラリアの医療研究機関、QIMRベルクホーファー医学研究所は木曜日、「アクセリオンに保管されているQIMRベルクホーファーのデータの約4%、つまり620MBが、12月25日にファイル共有システムを通じてアクセスされたようだ」と発表した。同研究所はさらに、抗マラリア薬の試験に関連する匿名化されたデータの一部がアクセリオンのFTAに保管されていたと述べた。
オーストラリア証券投資委員会(ASIC)、ニュージーランド準備銀行(RBNZ)、ハーバード・ビジネス・スクールなども、情報漏洩を公表しています。被害を受けたワシントン州の監査局は、2020年の失業手当申請について州全体の審査を行っていましたが、皮肉なことに、これは以前このシステムを悪用したサイバー犯罪者を追跡するためでした。今回のデータ漏洩は、ワシントン州民約160万人の社会保障番号、銀行口座情報、ルーティング情報、氏名、生年月日など、機密情報が漏洩する可能性があることを意味します。
侵害によってどれだけの組織が影響を受けたのか、そして実際の被害規模はどの程度なのかは、時が経てば明らかになるでしょう。今のところ、不明な点が多く残っています。
組織がサポート終了を迎えたレガシー製品に依存しないようにすべきだという教訓は、確かにここにあります。Accellion社は、顧客に対し最新プラットフォームであるKiteworksの導入を促していました。同社によれば、Kiteworksは「全く異なるコードベースに基づき、最先端のセキュリティアーキテクチャと、分離された安全な開発プロセスを採用」しています。同社の最高情報セキュリティ責任者は最近、Accellion社は「過去3年間、FTAの全顧客にKiteworksへの移行を推奨してきた」とコメントしました。フロリダ州オールドスマーで発生した水質汚染ハッキング事件(当局によると、古いWindows 7プログラム経由でアクセスされた可能性がある)を踏まえれば、企業が最新製品への移行を勧めてきた場合は、そのアドバイスに従うべきだという教訓が得られるはずです。
