データ漏洩により閉鎖を余儀なくされた悲劇の5社

投稿日: 2025年2月27日 作成者: クライム
このエントリーをはてなブックマークに追加
LINEで送る

TravelExのランサムウェア攻撃(2020年

2020年初頭、新型コロナウイルス(COVID-19)が世界中に広がり、ほとんどの国が「以前」の最後の数週間を楽しんでいた頃、外貨両替会社のTravelExはランサムウェア攻撃を受け、30か国での業務が停止しました。攻撃者は、同社のデータを復元するために600万ドル(一部の情報源では300万ドル)の身代金を要求しました。

同社は攻撃者と交渉したようで、攻撃者は230万ドルの支払いで合意したようです。しかし、データの完全復旧をせずに身代金を支払った92パーセントの企業と同様に、TravelExはハッカーとの和解後も通常業務に戻ることができなかった。むしろ、同社は最終的に再編成を余儀なくされ、事実上、廃業しました。

また、TravelExは攻撃を受ける前にサイバー保険に加入していたようである。しかし、業務中断による深刻な損失をカバーするには十分ではありませんでした。

この事件の影響で、TravelExの経営陣は、新型コロナウイルス(COVID-19)のパンデミックが発生していなければ、同社は攻撃を乗り切ることができたかもしれないと述べています。これは、ランサムウェア事件による損失とは別に、世界的な旅行の大幅な減少(したがって、外貨両替のニーズの減少)により、大幅な収益減につながったためです。これはもっともな意見です。

同様に、TravelExが攻撃を受ける前にデータをバックアップし、有効な災害復旧計画を策定していたならば、身代金を支払わずにシステムを復旧できた可能性が高い。そして、おそらく同社は、その後のコロナ危機を乗り切るためのより良い立場にあっただかもしれません。

MediSecureのデータ漏洩(2024年

2024年7月、オーストラリアで電子処方せんを提供しているMediSecureは、同国の人口のほぼ半数にあたる1,290万人分の記録が危険にさらされたセキュリティ侵害が発生したことを発表しました。

セキュリティ侵害の発生状況に関する限られた公開情報によると、脅威行為者が脆弱性を悪用してMediSecureのITインフラにランサムウェアを仕掛けたようです。その後、脅威行為者は患者の機密データを暗号化し、その解除と引き換えに身代金を要求しました。

MediSecureが実際に身代金を支払ったかどうかは不明ですが、おそらくはあまり重要ではないでしょう。なぜなら、攻撃者は盗んだデータを使用して、個人情報を侵害した個人に対して他の攻撃を仕掛けたからです。

この事件の後、MediSecureはオーストラリア政府に財政支援を要請しました。おそらく、個人情報の流出について同社に責任を問う被害者からの訴訟の可能性を考慮して、自社を守るために要請したのでしょう。政府は同社の要請を却下し、その後まもなく、MediSecureは「管理下」という状態に入りました。これは実質的に、同社が再編成され、情報漏洩による影響への対応が完了次第、業務を停止することを意味します。

教訓:機密データ(バックアップに保存された機密情報も含む)を暗号化する。また、攻撃者がデータを改ざんできないよう、バックアップも変更できないようにする必要があります。暗号化されたバックアップがMediSecureのデータ流出を防げたかどうかは定かではありませんが、少なくとも被害を拡大させることはなかったでしょう。 少なくとも、攻撃者が機密情報にアクセスする手段としてバックアップを標的にしたとしても、暗号化キーなしにはアクセスできないようにすることは可能だったでしょう。

Discord.ioのハッキング(2023年

身代金要求の対象となるデータさえも保有することなく、事業が停止に追い込まれた事例として、Discord.ioは2023年8月に事業停止を発表しました。この発表は、脅威行為者が同社の主要顧客データベースにアクセスし、それを販売しようとした大規模なハッキング事件に続いて行われました。

約76万人のDiscord.ioメンバーの個人情報を含むデータベースが実際に販売されたかどうかは不明です。しかし、Discordメッセージングプラットフォームのカスタム招待状を提供し、Discordとは独立して運営されていた同社は、おそらく機密データの不適切な管理に関する訴訟を避けるために、事業停止を選択したようです。つまり、Discord.ioは、訴訟による倒産を待つよりも、すぐに事業を停止してしまった方が良いと考えたようです。

このハッキングは、バックアップではなく本番データベースの侵害に起因しているため、データバックアップとリカバリへの投資を強化すれば、この企業が救われたかどうかは不明です。それでも、データ保護と、今回のような大規模なハッキングを乗り切る(あるいは回避する)能力は、密接に関連している傾向があります。データを適切にバックアップするための措置を講じれば、全体的なセキュリティ体制が強化され、ビジネス回復力も高まる可能性が高いでしょう。

National Public Data (2024年)

2024年8月、身元調査のための情報を収集・処理するNational Public Dataは、最大1億7000万人の個人情報を含む29億件の記録が流出したことを発表しました。ハッカーが同社のウェブサイト上でZIPファイルを見つけ、データベースへのアクセスを可能にしたために攻撃が実行されたようです。数ヶ月後、この企業は、この情報漏洩による財務的影響により、破産を申請し、閉鎖されました。

最近の他のデータ漏洩事件と同様に、バックアップのみでNational Public Dataの閉鎖を防げたかどうかは明らかではありません。しかし、バックアップは、アクセス認証情報をZIPアーカイブに保存するといった危険な行為を防ぐ可能性のある、より広範なサイバー衛生戦略における重要なステップのひとつであったでしょう。

Code Spaces(2014年

Code Spacesの事件については、 10年以上も前の出来事ですが、再検討する価値があります。なぜなら、この情報漏洩の結果は防げたはずであり、現在でも同様に壊滅的なものだからです。 ソースコードホスティングサービスのチームは、ある朝、ハッカーがAmazon Web Servicesのコントロールパネルに侵入したことに気づきました。 その後、ハッカーは自社システムの制御権を返す代わりに多額の身代金を要求しました。これは、彼らのデジタル上の存在がすべて消え始めているのを目の当たりにするという、恐ろしい12時間となりました。Code Spacesは、ハッカーがDDoS攻撃を実施し、Amazon EC2のコントロールパネルに侵入したことを発見しました。ハッカーは、主要なデータだけでなく、セーフティネットとなるはずのクロスリージョンバックアップを含むバックアップシステムまで破壊しました。

あなたのデータ、そしてビジネスを守るために

確かに、企業が完全に解散または再編成に至るような情報漏洩は比較的まれです。ほとんどの企業は、たとえデータを恒久的に失うことになっても、サイバー攻撃を何とか生き延びています。

しかし、上記の例は、情報漏洩による閉鎖が起こり得ることを証明しており、実際に起こっているのです。そして、効果的なデータ保護が、罰金や企業に関する悪いニュースを避けるためだけでなく、ハッキング後の業務維持を確実にするためにも非常に重要であることを思い出させてくれます。

企業が深刻なデータ侵害の被害に遭わないようにするためには、以下のような高度なデータ保護対策に投資することが必要です。

  • 体系的なデータバックアップ: 企業のRPO(目標復旧時点)およびRTO(目標復旧時間)のニーズを反映したスケジュールに基づいて、データを定期的にバックアップします。これにより、重要な情報を損失することなく業務を復旧させるのに十分なほど最近のデータバックアップを確保することができます。
  • 変更不可のバックアップ変更不可のバックアップを作成することで、攻撃者が本番システムに加えてバックアップデータにもアクセスした場合でも、バックアップの削除や改ざんを防止し、正常な復旧を可能にします。
  • クロスリージョンバックアップクロスリージョンバックアップは、プライマリーリージョンが停電や攻撃の影響を受けた場合に、別のクラウドリージョンを使用して迅速に業務を復旧させることで、クラウドベースのワークロードとデータを保護するためのさらなる安心感を提供します。
  • クロスアカウントバックアップクロスアカウントバックアップも、アカウントをまたいでデータを復元できるため、データ保護を強化します。これにより、1つのアカウントが侵害された場合でも、別のアカウントを使用して迅速に業務を復旧させることができます。
  • ネットワークのクローニング:インシデント発生後に業務を迅速に復旧させるには、データの復旧だけでは不十分な場合がよくあります。ネットワーク設定の復旧も必要となります。そのため、ワークロードのバックアップと同時にネットワーク構成をクローン化する必要があります。
  • 災害復旧計画:ランサムウェアの攻撃やその他の脅威が発生した場合の対応について、事前に計画を立てておきましょう。 考えられるあらゆる攻撃と復旧のシナリオを計画しておくことで、組織の存続を危うくすることなく、ビジネスオペレーションを迅速かつ包括的に復旧させる能力が高まります。
  • クロスクラウド災害復旧:マルチクラウドソリューションを導入している組織にとって、クロスクラウドのエアギャップを活用することは不可欠です。マルチクラウドの未来とは、1つのベンダーに依存することなく、同時にコスト効率も高いことを意味します。

ランサムウェア攻撃やその他のデータ侵害の厄介な点は、いつ、どのように発生するかを予測できないことです。つまり、セキュリティを強化しても、攻撃を受けないという保証はないということです。

しかし、できることはあります。そして、上述の多くの企業が実際に行うべきだったのは、データリソースの保護です。データベースやその他の生産データ資産へのアクセスを制限し、安全で変更不可能なバックアップを作成することで、データ侵害の被害を受けても事業を継続できる、最善の体制を整えることができます。

クライム・ランサムウェア・ソリューション特集サイト

関連トピックス:
カテゴリー: セキュリティ, バックアップ, クラウド・仮想インフラ タグ: , , , , , , , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

この記事のトラックバック用URL