昨年末に数千万人のアメリカ人の金融および個人情報を暴露した悪名高いターゲットセキュリティ侵害は、セキュリティからの情報によると、同社が重要な支払い機能とは別のネットワーク上で日常の運用および保守機能を維持できなかった結果でした12月に違反を最初に報告した研究者のブライアンクレブス。
ターゲットは先週 、ウォールストリートジャーナル に、そのネットワークの最初の侵害はサードパーティベンダーから盗まれたログイン情報に由来することを明らかにしました。 現在、クレブス氏は、問題のベンダーが、ペンシルベニア州シャープスバーグに本拠を置く、冷却およびHVACの設置と保守を提供するためにTargetと契約したFazio Mechanical Servicesであったと報告しています。 ファジオのロスファジオ社長は、調査の一環として会社が米国のシークレットサービスを訪問したことを確認しましたが、従業員に割り当てられたログイン資格情報の関与について報告されていません。
Fazioの従業員は、ターゲットのネットワークへのリモートアクセスを許可され、エネルギー使用量や冷蔵温度などのパラメーターを監視しました。 しかし、伝えられるところによると、Targetはネットワークのセグメント化に失敗したため、知識豊富なハッカーが同じサードパーティのリモート資格情報を使用して小売業者の重要なPOS(POS)サーバーにアクセスできることを意味しました。 まだ知られていないハッカーは、この脆弱性を利用してマルウェアを大半のTargetのPOSシステムにアップロードし、11月下旬から12月中旬に店で買い物をした最大7000万人の顧客の支払いと個人情報を収集しました。
この啓示は、標的幹部によるイベントの特徴づけに、洗練された予期しないサイバー窃盗としての疑念を投げかけています。 アップロードされたマルウェアは実に非常に複雑であり、Fazioの従業員はログイン資格情報の盗難を許可したことについて非難を共有していますが、ターゲットがセキュリティガイドラインに従い、支払いサーバーを隔離するためにネットワークをセグメント化した場合、どちらの条件も議論の余地がないという事実が残っています比較的幅広いアクセスを許可するネットワークから。
セキュリティ会社FireMonの創設者でありCTOであるJody Brazilは、 Computerworld に次のように説明しました。 ターゲットは、ネットワークへのサードパーティのアクセスを許可することを選択しましたが、そのアクセスを適切に保護することに失敗しました。」
他の企業がTargetの過ちから学ばなかった場合、消費者はさらに多くの違反が予想されます。 CTOでリスク管理会社BitSightの共同設立者であるStephen Boyer氏は次のように説明しています。「今日のハイパーネットワークの世界では、企業は支払いの収集と処理、製造、IT、人事などの機能を持つビジネスパートナーとますます連携しています。 ハッカーは、機密情報へのアクセスを得るために最も弱い侵入ポイントを見つけ、多くの場合、そのポイントは被害者のエコシステム内にあります。
ターゲットは、違反の結果としてペイメントカード業界(PCI)のセキュリティ基準に違反しているとはまだ判明していませんが、一部のアナリストは会社の将来のトラブルを予見しています。 PCI規格では強く推奨されていますが、組織は支払い機能と非支払い機能の間でネットワークをセグメント化する必要はありませんが、ターゲットのサードパーティアクセスが2要素認証を利用しているかどうかについては疑問が残ります。これは要件です。 PCI基準に違反すると多額の罰金が科せられる可能性があり、ガートナーのアナリストであるアビバリタンはクレブス氏に、この違反に対して最大4億2, 000万ドルの罰金が科せられる可能性があると語りました。
政府はまた、違反に対応して行動し始めました。 今週のオバマ政権は、より厳しいサイバーセキュリティ法の採用を勧告しました。これは、犯罪者に対する厳しい罰則と、セキュリティ違反の発生後に顧客に通知し、サイバーデータポリシーに関して特定の最小限の慣行に従う企業に対する連邦政府の要件の両方をもたらします。
