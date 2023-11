2023年11月17日 16時00分 セキュリティ

企業のデータを盗んだサイバー犯罪集団が被害企業を「データの盗難を公表しなかった」と証券取引委員会に告発



「Alphv」あるいは「BlackCat」という名前で知られるランサムウェアグループが、金融機関・消費者向けのデータ企業であるMeridianLinkの顧客データと運用情報を盗み出し、身代金を要求しました。さらに、MeridianLinkがランサムウェアにデータを乗っ取られた事実を公表しなかったとして、アメリカ証券取引委員会(SEC)に苦情を申し立てました。



Ransomware Group Files SEC Complaint Over Victim's Failure to Disclose Data Breach - SecurityWeek

https://www.securityweek.com/ransomware-group-files-sec-complaint-over-victims-failure-to-disclose-data-breach/





AlphV files an SEC complaint against MeridianLink for not disclosing a breach to the SEC (2)

https://www.databreaches.net/alphv-files-an-sec-complaint-against-meridianlink-for-not-disclosing-a-breach-to-the-sec/



AlphVによると、AlphVはMeridianLinkのデータを2023年11月7日に盗み出すことに成功したとのこと。AlphVaはランサムウェアを使ってデータを暗号化したのではなく、MeridianLinkの顧客データと運用情報をサーバーから盗み出し、身代金を支払わなければ入手したデータをすべて公開すると脅迫しました。



AlphVはMeridianLinkのデータを確かに盗み出したと主張しており、侵入が探知された後にセキュリティのアップグレードは行われなかったものの、ネットワークの侵入に使用された方法に対策するパッチが適用されたと報告しています。しかし、MeridianLinkは侵入されたことを公表しませんでした。





セキュリティ関連ニュースサイトのDataBreachesがAlphVに対して「MeridianLinkから連絡はあったのか」と尋ねたところ、AlphVはMeridianLinkの関係者からある時点で連絡はあったものの、会社との間でやり取りは何もなかったとのこと。



そこで、AlphVはSECに「MeridianLinkのコンプライアンスに関する懸念すべき問題に注意を喚起したいと思います。MeridianLinkは、顧客データと運用情報を侵害する重大な侵害について、『4営業日以内に指定の形式で必要な開示を提出する』という義務を怠ったことが判明しました」という苦情を提出しました。



以下が、AlphVが実際に提出した苦情。





これに対して、MeridianLinkはセキュリティ関連ニュースサイトのDataBreaches.netに「AlphVによるネットワーク侵入が11月10日に発生し、私たちは脅威を封じ込めるために直ちに行動し、サードパーティの専門家チームを派遣してインシデントを調査しました」と述べ、自社プラットフォームへの不正アクセスはなかったとしています。



また、MeridianLinkはDataBreachesに対し、「我々は弁護士ではありませんが、SECに報告する義務を課す新しい規則は2023年12月15日まで発効しないと考えています。法的当局がすでに発効していると思われる場合はお知らせください」と述べ、インシデントを公表してSECに報告する義務はなかったと主張しています。