BlackBaud社のランサムウェア攻撃に対する当局との和解

2023年3月9日、米国証券取引委員会からのリリース

SEC.gov | SEC Charges Software Company Blackbaud Inc. for Misleading Disclosures About Ransomware Attack That Impacted Charitable Donors

以下、機械翻訳です。
米証券取引委員会は本日、非営利団体に寄付者データ管理ソフトウェアを提供するサウスカロライナ州に本拠を置く上場企業、BlackBaud社が、13,000人以上の顧客に影響を与えた2020年のランサムウェア攻撃について誤解を招く開示をしたとして告訴された和解金として300万ドルを支払うことに同意したと発表した。
SECの命令によると、2020年7月16日、Blackbaudはランサムウェア攻撃者が寄付者の銀行口座情報や社会保障番号にアクセスしていないと発表した。しかし、これらの声明から数日以内に、同社の技術および顧客関係担当者は、攻撃者が実際にこの機密情報にアクセスして持ち出したことを知った。これらの従業員は、会社が開示管理と手順を維持できなかったため、この情報を公開を担当する上級管理職に伝えなかった。この失敗により、2020年8月に同社はSECに四半期報告書を提出したが、その中で攻撃の範囲に関するこの重要な情報が省略され、攻撃者がそのような機密の寄付者情報を入手するリスクを仮説的なものとして誤解を招く形で表現していた。
「命令書が認定しているように、BlackBaud社は、ランサムウェア攻撃に関する以前の公式声明が誤りであったことを従業員が知っていたにもかかわらず、ランサムウェア攻撃の影響を完全に開示しなかった」とSEC執行部門の暗号資産・サイバー部門責任者、デビッド・ハーシュ氏は述べた。「上場企業には、投資家に正確かつタイムリーな重要情報を提供する義務がある。BlackBaud社はそれを怠った」
SEC の命令では、BlackBaud社が 1933 年証券法第 17(a)(2) 条および第 17(a)(3) 条、1934 年証券取引法第 13(a) 条、およびその規則 12b-20、13a-13、および 13a-15(a) に違反したと認定されています。SEC の認定を否認することなく、BlackBaud社はこれらの規定に違反する行為を中止し、300 万ドルの民事罰金を支払うことに同意しました。

2024年2月1日、FTCからのリリース

FTCの命令により、BlackBaud社は不必要なデータを削除し、セキュリティ対策を強化して、データ漏洩につながった同社の甘いセキュリティ対策を解決する必要がある。
FTCは、同社のセキュリティが不十分だったため、ハッカーが何百万もの消費者の機密データを盗み、何ヶ月も検出されなかったと述べている

FTC Order Will Require Blackbaud to Delete Unnecessary Data, Boost Safeguards to Settle Charges its Lax Security Practices Led to Data Breach

ポイントは以下です。

• 保護手段を講じると顧客に伝えていたにもかかわらず、そのような保護手段を講じずユーザを欺いた。例えば以下がなされていなかった。

  • 同社はハッカーによるネットワーク侵入の試みを監視しなかった。

  • ハッカーが簡単にネットワークやデータベースにアクセスできないようにデータをセグメント化しなかった。

  • 不要になったデータを確実に削除しなかった。

  • 多要素認証を適切に実装しなかった。

  • セキュリティ管理をテスト、レビュー、評価しなかった。

  • 従業員がアカウントにデフォルトで、弱いまたは同一のパスワードを使用することを許可していた。

• 2020年初頭にハッカーが顧客のBlackbaud社のデータベースにアクセスした。

• 攻撃者は既存の脆弱性とローカル管理者アカウントを悪用し、新しい管理者アカウントを作成することで、複数のBlackbaudがホストする環境間を自由に移動することができた。

• 攻撃は3か月間検出されず、ハッカーはBlackbaud社が保有する大量の暗号化されていない機密性の高い顧客データを削除することができた。

• BlackBaud社が侵入を検知、ハッカーが盗んだデータを公開すると脅したため、BlackBaud社は24ビットコイン（約25万ドル相当）の身代金を支払うことに同意した。しかし、同社はハッカーが盗んだデータを実際に削除したかどうか確認していない。

• BlackBaud社は盗まれたデータの範囲について消費者を誤解させ、侵害に対応して何らかの措置を取る必要はないと顧客に伝えた。

• 同社は、ハッカーが社会保障番号や銀行口座情報などの機密データを入手したことを2020年7月末に早くも知っていたにもかかわらず、侵害の全容を顧客に伝えたのは、さらに2か月後だった。

• FTCは、この遅れが、潜在的な個人情報の盗難や侵害に起因するその他の潜在的な被害から身を守るための措置を講じることができなかった消費者に損害を与えたとしている。

• BlackBaud社は機密データを暗号化せず、保護に役立つ適切なファイアウォールを導入しなかっただけでなく、顧客だった情報を含むデータを、保管目的に必要な期間よりもはるかに長く保持していた。

以下、機械翻訳です。

サウスカロライナ州に本社を置くBlackBaud社は、同社のセキュリティが不十分だったためにハッカーが同社のネットワークに侵入し、社会保障番号や銀行口座番号を含む何百万人もの消費者の個人データにアクセスしたとの告発をめぐる連邦取引委員会との和解の一環として、保持する必要のない個人データを削除するよう求められることになる。
FTCは訴状の中で、企業、非営利団体、医療機関などにデータサービスや財務、資金調達、管理ソフトウェアサービスを提供しているBlackbaudが、顧客に提供するサービスの一環として保持している膨大な量の個人データを安全に保護するための適切な安全対策を実施しなかったと述べている。
「BlackBaud社のずさんなセキュリティとデータ保持慣行により、ハッカーは何百万人もの消費者の機密個人データを入手することができた」とFTC消費者保護局長サミュエル・レバイン氏は述べた。「企業には、保持するデータを保護し、不要になったデータを削除する責任がある。」
FTC は、ブラックボードは「個人情報を保護するために適切な物理的、電子的、手続き的保護手段を講じている」と顧客に約束していたにもかかわらず、そのような保護手段を講じずユーザーを欺いたと述べている。たとえば、同社はハッカーによるネットワーク侵入の試みを監視しなかった、ハッカーが簡単にネットワークやデータベースにアクセスできないようにデータをセグメント化しなかった、不要になったデータを確実に削除しなかった、多要素認証を適切に実装しなかった、セキュリティ管理をテスト、レビュー、評価しなかった。さらに、訴状によると、同社は従業員がアカウントにデフォルト、弱い、または同一のパスワードを使用することを許可していた。

訴状によると、これらの障害の結果、2020年初頭にハッカーが顧客のBlackBaud社がホストするデータベースにアクセスした。訴状によると、ログインすると、攻撃者は既存の脆弱性とローカル管理者アカウントを悪用し、新しい管理者アカウントを作成することで、複数のBlackbaudがホストする環境間を自由に移動することができた。この侵害は3か月間検出されず、ハッカーはBlackBaud社の顧客に属する大量の暗号化されていない機密性の高い消費者データを削除することができた。
訴状によると、BlackBaud社は機密データを暗号化せず、保護に役立つ適切なファイアウォールを導入しなかっただけでなく、元顧客の情報を含むデータを、保管目的に必要な期間よりもはるかに長く保持していたという。
同社が侵入を察知すると、ハッカーが盗んだデータを公開すると脅したため、BlackBaud社は24ビットコイン（約25万ドル相当）の身代金を支払うことに同意した。しかし、訴状によると、同社はハッカーが盗んだデータを実際に削除したかどうか確認していないという。
同時に、同社は侵害について顧客に通知するまでに約2か月も待ち、その後、盗まれたデータの範囲について消費者を誤解させ、侵害に対応して何らかの措置を取る必要はないと顧客に伝えたと訴状は述べている。同社は、ハッカーが社会保障番号や銀行口座情報などの機密データを入手したことを2020年7月末に早くも知っていたにもかかわらず、侵害の全容を顧客に伝えるまでにさらに2か月も待った。FTCは、この遅れが、潜在的な個人情報の盗難や侵害に起因するその他の潜在的な被害から身を守るための措置を講じることができなかった消費者に損害を与えたと述べている。
提案された命令は、BlackBaud社 に対し、顧客に製品やサービスを提供するために不要になったデータを削除するよう要求するだけでなく、同社がデータ セキュリティおよびデータ保持ポリシーを偽って伝えることを 禁止します 。提案された命令はまた、FTC の苦情で強調された問題に対処する包括的な情報セキュリティ プログラムを開発するよう BlackBaud社に要求します。さらに、同社は、個人データを保持する理由と、そのような情報をいつ削除するかを詳細に記述したデータ保持スケジュールを策定する必要があります。提案された命令はまた、BlackBaud社が将来、他の地方、州、または連邦機関に報告する必要があるデータ侵害が発生した場合、FTC に通知することを要求する。
委員会は、行政上の苦情を申し立て、BlackBaud社との同意協定案を承認することに3対0で投票した。FTCのリナ・M・カーン委員長とレベッカ・ケリー・スローター委員およびアルバロ・ベドヤ委員は共同声明を発表した。
FTC は、同意合意パッケージの説明を近日中に連邦官報に掲載する予定です。合意は連邦官報に掲載されてから 30 日間、一般からのコメントを受け付け、その後、委員会は提案された同意命令を最終的なものにするかどうかを決定します。コメントを提出するための手順は、公開された通知に記載されます。処理されると、コメントは Regulations.gov に掲載されます。

注:委員会は、法律が違反された、または違反されていると「信じるに足る理由」があり、手続きが公共の利益にかなうと委員会が判断した場合に、行政上の苦情を申し立てます。委員会が最終的な同意命令を発行すると、その命令は将来の措置に関して法的効力を持ちます。このような命令に違反するたびに、最高51,744 ドルの民事罰が科せられる場合があります。

FTC：BlackBaud社のセキュリティが甘かったためにハッカーが機密データを盗んだと述べているが、これはまだ物語の始まりに過ぎない。

https://www.ftc.gov/business-guidance/blog/2024/01/ftc-says-blackbauds-lax-security-allowed-hacker-steal-sensitive-data-thats-just-beginning-story