英国の大学は、先週クラウドCRM提供会社Blackbaudがランサムウェア攻撃を受けたことに気づき始めている。しかし、一部の大学は、このアメリカのソフトウェア会社が身代金を支払ったことに気づいていないようだ。
学生や卒業生の関係を管理するソフトウェアの世界にハッキングの通知が流れ始める中、今週は大学がサプライチェーン攻撃について警告を発しているというニュースが報道された。
非常に情報通の人々は、先週のレジスター紙のブラックボー身代金支払いに関する記事を読んで、この件についてすべて知っていました。しかし、単なるマグルたちは、大学が学生、職員、卒業生に対し、個人情報が盗まれたと通知し始めたときに初めてこのことを知りました。
クラウドビジネスのBlackbaudはランサムウェア集団の要求に屈し、その後2ヶ月間顧客への通知を怠った
続きを読む
BBCは、Blackbaudサービスに加入している英国の教育機関のリストをまとめた。そのうち、ヨーク大学、リーズ大学、マンチェスター大学、エクセター大学など12校が影響を受けたと回答した一方、クイーンズ大学ベルファスト校やユニバーシティ・カレッジ・ロンドンなど5校は影響を受けていないと回答した。
Blackbaudは5月にランサムウェアの攻撃を受け、AWSやAzureのクラウド環境で稼働しているファイルではなく、自社ホスト型システム上のファイルがロックされました。同社は2か月後の声明で、「お客様のデータ保護は最優先事項であるため、サイバー犯罪者の要求に応じ、削除されたコピーが破壊されたことを確認しました」と認めています。
マンチェスター大学は卒業生に電子メールを送った。The Register紙がそれを見たが、そこには次のように書かれていた。
学生ニュースサイト「ヨーク・ミックス」によると、ヨーク大学は水曜日、学生と卒業生に対し、氏名、生年月日、学生番号、住所、電話番号、メールアドレス、募金活動の詳細(寄付金の詳細を含む)、職業の詳細、勤務先の詳細などが盗まれたことを伝えた。
リーズ大学の卒業生クロエ・ロッシュさんはヨークシャー・ポスト紙に対し、ブラックボード社がランサムウェアの犯人に金銭を支払い、盗んだデータを削除すると約束したというニュースを、彼女の出身大学から伝えられたと語った。
彼女はこう語った。「Blackbaud社がハッカーたちに個人情報を破壊させるために身代金を支払ったという通知を受けましたが、それも本当に不安です。結局のところ、私たちのデータが実際にどう使われたのか知る術はなく、企業が脅迫されていると考えると本当に不安になります。データが売却されたり、譲渡されたりする可能性があることも心配で、とてもストレスを感じています。」
Twitterでは、Blackbaudのソーシャルメディア部門がデータ漏洩を認めなかった。本稿執筆時点での最新のツイートは、企業の社会的責任に関するものだった。
当社の#CSRリーダーである@RachelHutchssnが先日、@socinnovationのメインステージに登壇し、寄付と慈善活動の未来についての洞察を共有しました。ぜひご覧ください:https://t.co/3dsnerxNlo pic.twitter.com/H43NlgL4Ga
— ブラックバウド(@blackbaud)2020年7月23日
企業や機関そのものではなく、重要なデータの仲介業者や処理業者が標的となるサプライチェーン攻撃は、通常よりも目立たない標的です。しかし、今回のような事態が起こるまでは。
犯罪者がどのようにしてBlackbaudのネットワークに侵入し、ランサムウェアを拡散させたのか、今のところ情報はありません。しかし、身代金を支払うことは、彼らを助長し、犯罪者のビジネスモデルを存続させるだけです。身代金を支払ってはいけません。そして、犯罪者が約束を守ると約束したとしても、信じてはいけません。彼らは所詮犯罪者なのですから。®
