2段階認証使っておらず。
去年の年末に米ターゲットでクレジット/デビット・カード情報が大量流出した事件で、当局がついに原因を突き止めたみたいです。それは、空調業者です。一次的には。
セキュリティブロガーのブライアン・クレブスさんによると、ターゲットはこの事件の責任を「サードパーティの業者」なる会社におっかぶせようとしてきたんですが、それは空調業者、Fazio Mechanical Services社だったことがわかりました。ハッカーはFazio社の持つログイン情報を入手して、そこからターゲットのネットワークに侵入したようです。
Fazio社のロス・ファジオ社長はクレブスさんに対し、シークレットサービスがターゲットの件に関して同社に来たことを認めました。彼は全て詳細に伝えるつもりだとしています。
でも、なぜ空調業者がネットワークへのログイン情報を持っていたんでしょうか? そして、なぜ空調業者のログイン情報を入手しただけで、センシティブな顧客情報にアクセスできてしまったんでしょうか?
ひとつめの疑問に関しては、コスト削減のためだったと考えられます。匿名のサイバーセキュリティの専門家はクレブスさんに対し、大規模小売店はエネルギー消費量を監視してコスト削減する目的で業者を使うことがあると言っています。いわく、
このエネルギー消費量監視をするには、業者はメンテナンス(アップデート、パッチ、など)やトラブルシューティングの際、システムにリモートからログインする必要があります。[…]一企業だけで同じことをするとなると、コストが課題になります。人件費を減らすという意味では、新たに人を雇ったり教育したりするより、業者を頼む方が良い場合もあるんです。業者のログイン情報を入手したハッカーは、まずターゲットのレジの一部でマルウェアをテストしました。去年の11月15日から28日の間のことでしたが、誰にも全く気づかれませんでした。クレブスさんが捜査関係者から聞いたところでは、その2日後にターゲットの「大多数」の店舗にマルウェアが拡散され、11月27日から12月15日の間に買い物をしたお客さんの情報を収集していきました。
そしてふたつめの疑問に関しては、まず顧客情報を管理するネットワークが他のネットワークと分かれていなかったこと、そして2段階認証を使っていなかったことが理由として挙げられます。前者に関しては義務化されてはいませんが、後者に関しては、小売業のセキュリティ標準の中でリモートアクセス時には必要とされています。…
0 comments:
コメントを投稿