ゲッティイメージズ / ブルームバーグ / 寄稿者
ディクソンズ・カーフォンはデータに関する記録があまり良くありません。携帯電話販売店カーフォン・ウェアハウスとカリーズPCワールドを経営する同社は、近年2件の大規模な顧客データ侵害に見舞われており、2017年のハッキングは当初の想定をはるかに上回る規模だったことが明らかになりました。
同社は、2017年に個人情報を含む顧客記録が1000万件アクセスされたと確信している。当初は120万件と発表していた。さらに、このデータの一部がシステムから盗み出された可能性があるという「証拠」を発見した。盗み出されたデータには、決済カードや銀行口座の情報は含まれていない。
ディクソンズ・カーフォンは顧客と投資家に向けた声明の中で、新たな数字を認めた。同社はデータ漏洩が2018年6月に発生したことを初めて把握していたが、何が起きたのか正確には把握していなかったことは明らかだ。
同社は、情報漏洩を初めて発表した際、メールアドレス、氏名、自宅住所などを含む120万件の記録がアクセスされたと発表しました。ディクソンズ・カーフォンは6月、「これらの情報が当社のシステムから流出したという証拠はない」と発表しました。さらに、約590万枚のカードが影響を受けたと述べています。データ漏洩を認めた2度目の発表において、同社は情報の紛失によって不正行為は発生していないと考えていると述べています。
では、ハッキングの影響を受けた顧客数の増加の原因は何だったのでしょうか?一言で言えば、時間です。欧州の新しい一般データ保護規則(GDPR)では、企業はデータ侵害を発見後72時間以内に規制当局に報告することが義務付けられています。今回のケースでは、Dixons Carphoneは問題を発見してすぐに英国の情報コミッショナー事務局(ICO)に報告しなければならなかったでしょう。
続きを読む: ブリティッシュ・エアウェイズのハッキングは驚くほどひどい
GDPRでは、データ侵害を受けた企業は、「個人の権利と自由に悪影響を与える高いリスク」がある場合、顧客にその旨を伝えなければならないと規定されています。2018年6月、ディクソンズ・カーフォンがデータ侵害を初めて公表した際、広報担当者はハッキングが1週間前に発生したことを発見したと述べました。
それ以来、同社はハッキングの全容解明のため、ITシステムのフォレンジック分析を行う時間が増えました。今のところ、顧客情報がどのようにアクセスされたか、あるいは盗まれたかについての技術的な詳細は明らかにされていません。しかし、捜査が進むにつれて、これらの情報は明らかになるでしょう。以前、ディクソンズ・カーフォンが所有する事業の一つであるカーフォン・ウェアハウスが、比較的単純なサイバー攻撃を受け、数百万件もの記録がアクセスされました。
ICOは2015年のサイバー攻撃を受け、2018年1月にカーフォン・ウェアハウスに40万ポンドの罰金を科しました。3年前の攻撃はベトナムで始まり、ディクソンズ・カーフォンがアップデートしていないWordPressのバージョンを見つけるために、比較的シンプルなソフトウェアが使用されました。ICOは、そのソフトウェアが「かなり古い」状態だったと述べています。
ICOはハッキングに関する報告書の中で、「攻撃者は多数のデータベースにアクセスした」と述べています。ハッカーは最終的に、300万人以上の顧客とカーフォン・ウェアハウスの従業員1,000人のデータにアクセスしました。これには、氏名、住所、電話番号、生年月日、婚姻状況、古いクレジットカード情報などが含まれていました。
最新のデータ侵害を調査しているICOは、GDPRに基づき、同社に対し、以前科した40万ポンドよりも大幅に高額の罰金を科す権限を有しています。カーフォン・ウェアハウスへの罰金を科した際、ICOは次のような厳しい結論に達しました。「(コミッショナーは)カーフォン・ウェアハウスの技術的および組織的対策の欠陥が、このようなデータ侵害の現実的なリスクを生み出し、今回の事案において重要な間接的役割を果たしたという見解を変わりません。」
この記事はWIRED UKで最初に公開されました。
