クラウド ソフトウェア会社 Blackbaud の何千もの下流顧客のデータ侵害につながった 2020 年の壊滅的なランサムウェア攻撃から 3 年半が経ち、米国に本拠を置くサプライヤーである Blackbaud は、重大なサイバー セキュリティ上の欠陥で当局から非難され、是正措置を講じるよう命じられました。 。
Blackbaud は、教育機関や非営利団体向けの財務、資金調達、管理ソフトウェアを専門としています。 2020年のシステムへの攻撃は、アバディーン、バーミンガム、ブリストル、ブルネル、ダーラム、イーストアングリア、エクセター、グラスゴー、ヘリオットワット、ケント、リーズ、リバプール、ロンドン、ラフバラーを含む複数の英国の大学のデータに影響を与えたことが知られている。 、マンチェスター、ノーサンプトン、オックスフォード・ブルックス、レディング、ロバート・ゴードン、スタッフォードシャー、ストラスクライド、サセックス、ウェスト・ロンドン。
非営利の被害者には、Action on Addiction、Breast Cancer Now、The Choir with No Name、Maccabi GB、National Trust、Sue Ryder、Urology Foundation、Wallich が含まれます。 労働党の寄付者に関するデータも採取された。
その後、対応のあらゆる段階で、Blackbaud が認識され推奨されているインシデント対応のベストプラクティスに従わなかったことが明らかになりました。
攻撃は 2020 年 2 月に始まり、5 月に発見されましたが、Blackbaud は被害者に通知するまでにほぼ 2 か月かかりました。 その後、ランサムウェアギャングがデータを削除するという約束と引き換えに24ビットコインの身代金を支払ったことを公然と明らかにしたが、それが実行されたことは一度も確認されていなかった。
2月1日に公表された訴状の中で、米国連邦取引委員会(FTC)は、Blackbaudが顧客のデータを保護し安全を確保するための適切な安全措置を講じていないと述べた。
FTCの消費者保護局長サミュエル・レビン氏は「ブラックボー社のずさんなセキュリティとデータ保持の慣行により、ハッカーが何百万人もの消費者に関する機密の個人データを入手することを可能にした」と述べた。 「企業には、保持しているデータを安全に保護し、不要になったデータを削除する責任があります。」
FTCは訴状の中で、Blackbaudが顧客のデータを保護するための物理的、電子的、手続き上の保護手段を実装すると約束したにもかかわらず、それを怠ったことで顧客を欺いたと述べた。
とりわけ、システムへの繰り返し侵入の試みの監視、アクセスを防ぐためのデータのセグメント化、不要なデータの削除の確認、多要素認証 (MFA) の実装、セキュリティ制御のテスト、レビュー、評価を怠っていました。 。 また、自社の従業員がアカウント全体でデフォルトの弱いパスワードや同一のパスワードを使用することも許可されました。
これらの問題の結果、侵入の背後にいる攻撃者は複数の環境を自由に移動し、既存の脆弱性や管理者アカウントを悪用し、同社の顧客の暗号化されていないデータにアクセスして削除できるようになりました。
さらに FTC は、Blackbaud は維持目的に必要な期間をはるかに超えてデータを保持しており、そのため、一部のデータはもはや顧客ではなくなった組織に関連していると述べた。
FTCはまた、Blackbaudが攻撃者が財務情報や米国社会保障番号などの機密データを入手したことを十分に認識していたにもかかわらず、通知が2か月遅れたことにも言及した。 この遅れにより、個人情報の盗難やその他の危害から身を守るために何もできなかった一般の人々に損害が生じたと同社は述べた。
FTCは今後、顧客に製品やサービスを提供するために不要になったデータの削除をBlackbaudに要求し、自社のセキュリティ慣行を偽る表示を禁止する命令を提案している。 FTCの命令では、同社に対し、見つかった問題に対処するための「包括的な」サイバーセキュリティプログラムを開発することや、将来的に通知すべき侵害が発生した場合にはFTCに通知することも求められる。
ブラックボーは以前、サイバー攻撃に対する誤解を招く対応を理由に、米国の金融規制当局である証券取引委員会から罰則を受けている。 さらに昨年、州法と連邦医療保険の相互運用性と説明責任法に違反したとする調査を解決するため、全米50州に分割して4,950万ドルを支払うことで合意に達した。 英国の情報コミッショナー局からも叱責された。