+コメントクラウド CRM プロバイダーの Blackbaud は、盗んだデータを悪用しないという約束と引き換えに幹部がランサムウェアの犯罪者を買収したが、現在、顧客の銀行口座情報が犯罪者によってサーバーから盗まれた可能性があることを認めている。
Blackbaudは、米国株式市場への8-K提出書類[PDF]の中で、5月のランサムウェア感染により、悪意のある人物が銀行の詳細情報を持ち去った可能性があることを認めた。
ブラックボードのCFOトニー・ブール氏が署名したこの申し立てには、「7月16日以降、さらなるフォレンジック調査の結果、通知を受けた顧客の一部において、サイバー犯罪者が銀行口座情報、社会保障番号、ユーザー名、パスワードなどの入力欄のうち、暗号化されていない項目にアクセスした可能性があることが判明しました。ほとんどの場合、機密情報を入力する欄は暗号化されており、アクセスできませんでした」と記されている。
これは、ハッキングから2か月後にBlackbaudが発表した声明とは明らかに対照的だ。当時同社は「サイバー犯罪者はクレジットカード情報、銀行口座情報、社会保障番号にアクセスしていません。お客様のデータ保護は当社の最優先事項であるため、サイバー犯罪者の要求に応じ、持ち出されたコピーが破棄されたことを確認しました」と述べていた。
ハッキングされたことを世界にどう伝えればいいのかお悩みですか?情報セキュリティの専門家による便利なガイドをご紹介します。
続きを読む
ブール氏は今週の提出書類で、「これらの新たな調査結果は、セキュリティインシデントに関与したすべての顧客に当てはまるわけではない」と付け加えた。
ブラックボードの最新の保証は、所属機関によってブラックボードのサーバーに個人データが保管されていた英国の学生や大学教員にとって、冷たい慰めとなるだろう。同社のクラウドベースのCRMは、主に慈善団体や高等教育機関が、現在および将来の寄付者に関する情報の収集に利用している。
7月、Blackbaudは、ランサムウェア攻撃、データ盗難、それに続く犯罪者の買収が5月に発生したことを遅ればせながら世界に思い出した。
翌月、慈善団体や教育機関に侵害の通知が届く中、最高経営責任者(CEO)のマイケル・ジャノーニ氏は金融アナリストに対し、ランサムウェア攻撃を「阻止した」と軽々しく自慢した。ブール氏は8月の電話会議で、同社のサイバー保険により、ランサムウェア攻撃による「重大な財務的影響」は発生しないと付け加えた。
Regコメント: これは愚かだ
ランサムウェアの侵入やその他の意図的な攻撃からシステムを防御することで生計を立てている人々にとって残念なことに、Blackbaud は一連の危険な前例を作ってしまいました。
同社は、企業顧客に侵入され、犯罪者に金を払ったことを伝えるのに非常に時間がかかった。経営陣は、情報セキュリティの観点から、自分たちがあらゆる間違いを犯しているにもかかわらず、すべて順調であると株式市場に気楽に主張した。また、損失の補填をサイバー保険に公然と頼り、投資家に対しては、純損失ゼロのシナリオをまるで心配する必要がないかのように提示した。
Blackbaud の経営に明確な財務上または規制上の影響がなければ、他の企業もこのやり方を真似したくなるでしょう。その結果、犯罪者が裕福になり、オンラインの世界はより安全ではなくなるでしょう。®
