Malwarebytesは2月23日(米国時間)、「DNA testing company fined after customer data theft」において、米オハイオ州のDNA検査会社であるDNA Diagnostics Center (DDC) が、サイバー攻撃によって顧客情報を漏洩させたことに対し、合計40万ドルの罰金を支払うことに合意したとに伝えた。
DDCは2021年にサイバー攻撃を受け、データベースに保存されていた顧客の社会保障番号を含む個人情報を流出させた。オハイオ州とペンシルバニア州はこの事件について、DDCが適切な情報セキュリティ対策を怠ったとして、同社を提訴していた。
-
DNA testing company fined after customer data theft
DDCは2012年に英国のDNA検査会社「Orchid Cellmark」を買収したが、その際にプレーンテキストで個人情報を保持しているデータベースシステムも譲り受けたという。しかし当のDDCはこのデータベースの存在を認識していなかった。DDCは自社が保有するシステムに対してインベントリ評価と侵入テストの両方を実施していたものの、調査の結果、認識されていないこの古いデータベースはそれらのテストの対象に含まれていなかったことが判明した。
攻撃者は、侵害された従業員のアカウントを使用してDDCのシステムに不正アクセスし、Active Directory (AD) の資格情報を収集した後、管理者権限を持つアカウントを使って持続的な侵害環境を確立したと見られている。その後、Cobalt Strikeと呼ばれるマルウェアを利用して、最終的に28のデータベースをコピーしたとのこと。この攻撃で、オハイオ州とペンシルベニア州の住人45,000人を含む、全米で210万人以上の個人情報が漏えいした。
オハイオ州とペンシルバニア州は、DDCがプライバシーポリシーで顧客の情報を保護していると宣伝しているにもかかわらず、不正アクセスを検出および防止するための適切な対策を取ることを怠ったと主張。
DDCは、両州にそれぞれ20万ドルの罰金を支払った上で、情報セキュリティの強化を実施することで合意した。DDCは180日以内に、定期的なソフトウェアの更新やユーザアクセス制御の実装、ネットワーク侵入テストの実施などを含むセキュリティ対策を実装する必要があるとのことだ。
