英国のケーブルテレビ大手ヴァージン・メディアのCEOが昨日述べたように、インターネットに公開されたままの同社のサーバーには、90万人以上の「限定的な連絡先情報」が含まれていた。
実際、マーケティング データベースには、成人向けサイトやギャンブル サイトへのアクセスをブロックまたはブロック解除する加入者のリクエスト、盗難された携帯電話の固有 ID 番号、Virgin Media の Web サイトにアクセスする前に訪問していたサイトの記録も含まれていました。
これは、英国の情報セキュリティ企業Turgensecが発表したもので、同社はVirgin Mediaの情報サイロのセキュリティが不十分であることを発見し、ブロードバンド、テレビ、電話プロバイダーである同社に非公開で報告した。調査チームは本日、データ流出の範囲はVirgin Mediaの公式発表で示唆されていたよりも広範かつ個人的なものだったと述べた。
以下は、4月中旬から今月にかけて公開されたデータキャッシュで発見されたとTurgensecが発表した内容の全文である。
これらのウェブサイトのブロックとブロック解除の要請は、英国の支配階級がISPに対し、子供が親の自宅のインターネット接続経由で成人向けコンテンツを閲覧するのを防ぐためのフィルター導入を迫った結果である。これらのフィルターは、英国民が特に悪質な違法コンテンツを閲覧するのを防ぐことも目的としていた。
ヴァージン・メディアは本日、データベースには加入者約1000人のフィルターリクエストの問い合わせが保存されていることを強調した。
漏洩のあったサーバーはその後、人目に触れないように隠されている。ヴァージン・メディアのCEO、ルッツ・シューラー氏は昨夜、「調査の結果、ヴァージン・メディアはデータベースが少なくとも1回アクセスされたと考えているが、アクセスの範囲や実際に情報が使用されたかどうかは不明だ」と述べた。
同氏はさらに、「データベースにはパスワードやクレジットカード情報、銀行口座番号などの財務情報は含まれていなかったが、氏名、自宅住所、メールアドレス、電話番号など、限られた連絡先情報が含まれていた」と付け加えた。
二重の意味と無駄
ヴァージン・メディアは今週、加入者に送った別の電子メールで、マーケティング・データベースからアクセスできる記録は「連絡先の詳細(氏名、自宅、電子メールアドレス、電話番号など)、技術情報、製品情報、当社のウェブサイト上のフォームを使用して当社に提出したリクエスト」のみであると加入者に安心させようとした。
結局のところ、「技術情報および製品情報」という言葉が、非常に大きな役割を果たしていたことが分かりました。ターゲンセックの戦略的に選ばれた声明は、ヴァージン・メディアがあからさまに嘘をついているとまでは非難していませんが、それでもかなり非難に値する内容です。
「(ヴァージン・メディアの)広報チームの意図についてわれわれは語ることはできないが、顧客に対して『限定的な連絡先情報』の漏洩のみがあったと述べることは、われわれの見解では、事実を過小評価し、不誠実である可能性がある」と情報セキュリティ会社は金曜日に述べた。
Turgensec社はまた、ISPがセキュリティ上の失態の原因をIT担当者によるインターネット接続データベースの「不適切な設定」に求めようとしたことにも異議を唱えた。暗号化されていない平文の記録で満たされていたデータベースは、「体系的な保証プロセスの欠陥」の兆候だとTurgensec社は述べた。
処女のように、初めてハッキングされた…英国のブロードバンドISPが、安全でないデータベースから90万人の賭け事記録を悪者の手に流出させた
続きを読む
セキュリティ業界は、ヴァージン・メディアによるこの失態の公表方法にも憤慨している。ターゲンセックはデータベース発見に対して金銭的な報酬を求めていなかったものの、業界の認知度を高めるため、その努力に対する公的な称賛は期待していた。ところが、ヴァージン・メディアは、自社の命を救ってくれた人々への感謝の言葉も述べず、メディアに直接謝罪した。
Turgensecは、ブロードバンドプロバイダーVirgin Mediaから通知を受けたすべての顧客に対し、漏洩したデータの詳細な内訳を求めるGDPRに基づく請求を提出するよう強く求めた。90万人が影響を受けるため、ISPの法務チームはしばらくの間、対応に追われることになる。
「企業は、顧客の権利よりも株主価値を優先させようと、自社の配慮やデューデリジェンスを誇大宣伝しながら、影響を軽視する傾向があります。顧客には、データが『設計によって』保護されていることを確認する権利がありますが、多くの場合、それが実現されていません」とターゲンセックは嘆いた。
「今回のケースでは、10か月間も公開されたままになっていたデータが、悪意のある可能性のある複数の人物によって取得されていないとは考えにくい。」
一方、ヴァージン・メディアは重要な詳細を伏せていたとの主張を否定した。
「このデータベース事件の影響を受けた約90万人のうち、1,100人、つまり0.1%の人の情報が当社の「サイト報告」フォームに含まれていました」と広報担当者はThe Registerに語った。
このフォームは、顧客が特定のウェブサイトをブロックまたはブロック解除するようリクエストするために使用されます。このフォームでは、何が閲覧されたかに関する情報は提供されず、閲覧履歴情報にも関連しません。
当社が不誠実な行動をとったといういかなる主張も強く否定します。この件について影響を受けたすべての方々に最初に通知した際、ウェブフォームを通じて提供されたあらゆる情報がデータベースに含まれる可能性があることを明確にお伝えしました。
ヴァージン・メディアは、顧客が自分のアカウント情報のどの部分が漏洩したかを正確に検索できるツールを開発中だと付け加えた。®
