リスクとコンプライアンスのスタートアップであるLogicGate(ロジックゲート)がデータ漏洩を認めた。ただし、顧客でない限り本件について聞いていないだろう。
LogicGateが2021年4月初めに顧客宛に送ったメールによると、2月23日、同社の主要プラットフォームであるRisk Cloudの顧客のバックアップファイルを保存しているAmazon Web Serviceのクラウド・ストレージ・サーバーの認証情報を、権限のない第三者が入手した。Risk Cloudは企業が自社のリスクとコンプライアンスを確認・管理するためにデータ保護とセキュリティ標準を提供するプラットフォームだ。Risk Cloudはセキュリティの脆弱性を悪意のあるハッカーに利用される前に検知するためにも役立つとLogicGateは述べている。
認証情報は「権限のない第三者が、Logic Gate Risk Cloudバックアップ環境のAWS S3バケットに保存されている特定のファイル群を解読するために使われたと見られる」とメールに書かれている。
「2021年2月23日以前にRisk Cloud環境にアップロードされたデータのみが、当該バックアップファイルに含まれています。また、お客様がRisk Cloudに保存したアタッチメントについては、それに関連する解読事象は特定されていません」。
LogiGateはどうやってAWS認証情報が漏洩したかについては明らかにしていない。4月9日にLogiGateが送った追伸メールによると、同社は問題の根本原因を今週中に見つけるつもりだとしている。
しかしLogicGateはデータ侵害について公的発表は一切していない。また、同社が顧客全員に連絡をとったのか、データをアクセスされた顧客だけなのかもはっきりしない。LogicGateはCapco、Sofi、およびBlue Cross Blue Shield of Kansas Cityが顧客であるという。
TechCrunchは同社に質問を送り、影響を受けた顧客の数や、同社が州の情報漏洩通知法に従って米国当局に通知したかどうかを尋ねた。LogicGate CEOのMatt Kunkel(マット・クンケル)氏は情報漏洩については認めたが、進行中の調査についてコメントを拒んだ。「状況を当社顧客に直接伝えるのが最適だと信じています」と同氏は語った。
クンケル氏は質問に対して、アタッカーが解読した顧客データをサーバーから取り出したかどうかについても語らなかった。
情報漏洩通知法は州によって異なるが、セキュリティ事象の報告を怠った企業は高額な罰金を科される。ヨーロッパのGDPR(一般データ保護規則)の下では、違反した企業は年間売上の最大4%を罰金として科されることがある。
2020年12月、LogicGateは875万ドル(約9億5000万円)の資金調達を完了し、2015年の設立以来の累計は4000万ドル(約43億6000万円)を超えた。
関連記事:常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ
もしあなたがLogicgateの顧客だったら、SignalまたはWhatsAppで、+1 646-755-8849まで情報提供して欲しい。本誌のSecureDropを使ってファイルや文書を送ることもできる。詳しくはこちら。
カテゴリー:セキュリティ
タグ:LogicGate、データ漏洩、AWS
画像クレジット:Jan Willem Kunnen / Getty Images
[原文へ]
(文:Zack Whittaker、翻訳:Nob Takahashi / facebook )