サムスンは2022年9月2日、2022年2度目となるデータ侵害が発生したと発表した。侵害の正確な内容についてはほとんど詳細を明かさなかった声明の中で、同社は「特定の顧客」の名前、連絡先、人口統計情報、生年月日、製品登録情報が影響を受けたと述べた。
データ侵害の影響を受けた顧客は誰ですか?
同社は、影響を受けた顧客の種類(例えば法人顧客か個人顧客か)や、影響を受けた地域の内訳、その他の情報についても明らかにしていない。こうした具体的な情報の欠如から、すべての顧客は自身のデータが侵害の対象になったと結論付けるべきだ。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
「情報漏洩の開示状況としては、これは玉石混交だ」と、サーベラス・センチネルのソリューションアーキテクチャ担当バイスプレジデント、クリス・クレメンツ氏は述べた。「影響を受けた人数に関する透明性の欠如、通知の遅れ、そして金曜日の遅い休日週末の発表は、明らかに事件を矮小化しようとする試みのように思えます。」
同社は顧客向けのFAQページを開設し、最初の侵害は2022年7月下旬に発見され、8月4日までに「サムスンの米国システムの一部」から個人データが流出したことが判明したと述べている。このニュースは1か月後の9月2日金曜日に公表された。
複数の報道によると、Galaxyスマートフォンのソースコードが影響を受けた3月の侵害とは異なり、今回の侵害は一般向けデバイスには影響がないと同社は述べている。また、社会保障番号やクレジットカード番号も危険にさらされていないとしている。
「残念ながら、今回の侵害は今年2度目のものです。サイバー犯罪者がソースコードやその他の技術情報を盗んだのです」と、KnowBe4のセキュリティ啓発活動家、ジェームズ・マクキガン氏は述べています。「ユーザー情報が収集されれば、ユーザーが所有するサムスン製品に関連した標的型攻撃が行われる可能性があります。」
新たなデータ侵害は前回のハッキングによるものと思われる
一度企業ネットワークに侵入したマルウェアを完全に排除するのは困難であり、特にサムスンのように大規模で複雑な場合はなおさらだ。そのため、今回の事件は3月のハッキング事件の続きである可能性が高いと、アイデンティティおよびアクセス管理ベンダーのラディアント・ロジックの最高情報セキュリティ責任者(CISO)、チャド・マクドナルド氏は述べた。
「公表前にこれほど長い間放置していたという事実は、彼らが緊急性をそれほど懸念していなかったことを示唆している」と彼は述べた。「このことから、今回の件は(以前の侵害の)継続であり、まだ発見されていなかっただけである可能性が高いと感じます。」
マクドナルド氏は、攻撃者がアクセスを得るために使用した最も可能性の高いもう1つの脅威ベクトルはフィッシングメールであると指摘した。
「一番簡単な方法だし、数学的なゲームでもあるよね? 100万通のメールを送って、あとは2回クリックするだけで…いわば王国の鍵が手に入るんだ」と彼は言った。
サムスンは規制措置に直面する可能性がある
サムスンが流出したと主張するデータに関しては、マクドナルド氏はそれが高リスクだとは考えていない。
サムスンは、公表までに長い時間を要したため、今回の侵害の影響はサムスンにとってはるかに深刻なものとなる可能性がある。盗まれたデータの一部がEUの顧客からのものである場合、サムスンは一般データ保護規則第33条に違反している可能性がある。同条では、組織は「個人データの侵害が自然人の権利と自由に対するリスクをもたらす可能性が低い場合を除き」、影響を受ける各国の監督当局に72時間以内に通知しなければならないと規定されている。
「繰り返しになりますが、現在、即時対応を義務付ける規制が非常に多くあります。米国には2つか3つあります」とマクドナルド氏は述べた。「しかし、それらに対する規制上の効力はそれほど高くないと思います。今のところ、罰則面で大きな影響力を持つのはGDPRです。」
TechRepublicは、この侵害に関する詳細情報を得るために、サムスンの米国メディアリレーションズチームに連絡を取ったが、記事執筆時点では返答がない。
