原題: A miracle: A company says sorry after a cyber attack – and donates the ransom to cybersecurity research
Checkout.comのサイバー攻撃対応:謝罪と身代金の寄付で示した誠実さ
近年、サイバー攻撃やデータ漏洩のニュースが絶えない中、多くの企業は被害を受けても謝罪を避ける傾向にあります。そんな中、決済処理サービスのCheckout.comがハッキング被害を公に認め、謝罪し、さらに身代金相当額をセキュリティ研究に寄付するという異例の対応を示しました。
主要なポイント
- レガシーシステムからのデータ漏洩:ハッキンググループ「ShinyHunters」によって、2020年以前に使用されていたサードパーティのクラウドストレージシステムからデータが盗まれました。
- 影響範囲の限定:現在の加盟店の25%未満が影響を受け、決済プラットフォームのライブ環境や決済カード情報は侵害されていません。
- 謝罪と責任の明確化:Checkout.comは「これは私たちのミスであり、全面的に責任を負います。申し訳ありません」と明確に謝罪しました。
- 身代金の不払いと寄付:ハッカーからの身代金要求に応じず、同額をカーネギーメロン大学とオックスフォード大学のセキュリティセンターに寄付し、サイバー犯罪対策の研究支援を行いました。
- レガシーシステムの管理の重要性:今回の事件は、廃止されていなかった古いシステムの管理不足が原因であり、企業はこうした潜在的リスクの早期発見と対策が求められます。
技術的な詳細や背景情報
今回の攻撃は、Checkout.comがかつて使用していたサードパーティのクラウドストレージシステムに対するものでした。このシステムは2020年以前に使用されており、現在はレガシー(旧式)システムとして扱われています。レガシーシステムは、最新のセキュリティパッチが適用されていなかったり、アクセス権限の管理が不十分であったりすることが多く、攻撃者にとって格好の標的となります。
ハッカーグループ「ShinyHunters」は、このシステムから運用文書や加盟店のオンボーディング資料などのデータを盗み出しました。幸いにも、決済処理のライブ環境やカード情報は侵害されていませんでしたが、加盟店の一部に影響が及びました。
また、盗んだデータを公開すると脅迫し、身代金を要求しましたが、Checkout.comはこれを拒否。代わりに身代金相当額をサイバーセキュリティ研究に寄付するという、社会的責任を果たす対応を選択しました。
影響や重要性
多くの企業がサイバー攻撃を受けても謝罪を避ける中、Checkout.comの率直な謝罪と責任の明確化は、顧客やパートナー、従業員との信頼関係を築く上で非常に重要な一歩です。また、身代金を支払わずに寄付するという姿勢は、サイバー犯罪に屈しない強いメッセージとなり、業界全体に良い影響を与えるでしょう。
さらに、この事件はレガシーシステムの管理不足がもたらすリスクを改めて浮き彫りにしました。企業は使われなくなったシステムの完全な廃止やアクセス権の見直し、定期的なセキュリティ監査を実施する必要があります。これにより、攻撃者に狙われる前に脆弱性を発見し、被害を未然に防ぐことが可能となります。
まとめ
Checkout.comの今回の対応は、サイバー攻撃被害を受けた企業として模範的なものと言えます。率直な謝罪と責任の受け入れ、そして身代金を支払わずにセキュリティ研究に寄付するという社会的責任の遂行は、信頼回復に向けた重要なステップです。
しかし、根本的な問題であるレガシーシステムの管理不足は依然として課題として残っています。企業は今回の教訓を活かし、使われなくなったシステムの適切な廃止やセキュリティ対策の強化を進めることが求められます。これにより、将来的なサイバー攻撃のリスクを低減し、顧客やパートナーからの信頼を守ることができるでしょう。
