マクドナルドは、データ侵害による個人情報窃盗、フィッシング攻撃、その他の詐欺行為への警戒を顧客に呼びかけています。今回のデータ侵害がさらに懸念されるのは、直接的な攻撃ではなく、手っ取り早い手段を狙うハッカーの戦略がますます強化されていることを示唆している点です。
ハッカーはマクドナルド自体に侵入したわけではありません。攻撃者は、マクドナルドが契約した第三者が契約した第三者を通じて、マクドナルドの機密性の高い顧客データにアクセスしました。マクドナルドは販促メールキャンペーンの管理をアーク・ワールドワイドに委託し、アーク・ワールドワイドはメールの実際の配信を別の第三者に委託しました。ハッキングされたのはこの匿名の第三者です。
影響を受けたマクドナルドの顧客にとって朗報なのは、これらのメールによるプロモーションキャンペーンでは、社会保障番号やクレジットカード情報といった機密性の高い情報は収集されないということです。しかし、漏洩した氏名、電話番号、メールアドレス、住所などのデータは、ソーシャルエンジニアリングや個人情報窃盗攻撃に悪用される可能性があります。
マクドナルドは、お客様の個人情報が漏洩した可能性があることをお知らせするメールを送付しました。このメールは、お客様に対し、なりすましやフィッシング詐欺の脅威に対する警戒を強化するよう呼びかけており、マクドナルドを名乗るメールが届き、個人情報や金融情報の開示を要求してきた場合は、マクドナルドまでご連絡くださいと呼びかけています。
IT管理者はこのインシデントに細心の注意を払う必要があります。マルウェア開発者がWindowsオペレーティングシステムを直接攻撃するのではなく、Adobe Readerなどのサードパーティ製ソフトウェアに注力するようになったのと同様に、ハッカーもネットワークを侵害する最も簡単な方法はサードパーティプロバイダーを経由することであることを理解しています。
パートナーやベンダーは、多くの場合、強化された高価値ネットワークへの信頼できる接続を確立しており、攻撃者にとって格好の標的となっています。小規模なサードパーティ組織は、大企業のようなセキュリティポリシーや管理体制が整っていないことが多く、ハッカーが悪用してより価値の高いネットワークにアクセスするための弱点となっています。しかも、そのアクセスはレーダーに検知されないまま行われることが多いのです。
機密データとネットワークリソースを保護するために、IT管理者が行うべきことは2つあります。まず、デューデリジェンスを実施し、サードパーティプロバイダーがセキュリティ要件を満たしていることを確認するためのセキュリティガイドラインを策定します。さらに、サードパーティが契約するサードパーティにも、ネットワークへの接続を許可する前に、同じ要件を満たし、同じ審査プロセスを通過することを義務付けます。
IT管理者が行うべきもう一つのことは、信頼できるパートナーであってもネットワークを保護し、機密システムへのアクセスを防止するための監視と制御を確立することです。今回のケースでは、侵害されたデータベースがサードパーティプロバイダーのネットワーク上にあったため、この対策は役に立ちませんでしたが、IT管理者は連携とセキュリティのバランスを取る必要があります。
流水のように、攻撃者は常に最も抵抗の少ない道を探します。このマクドナルドの事件が示すように、その道は信頼できる第三者を経由することがよくあります。
