画像:DataBreaches.netより引用
インシデントによる情報流出は、中小企業にとって取引先との関係断絶にもなりかねず、もっとも隠したい事案の一つです。しかし、被害を隠し続ける行為は最早不可能な時代に突入したのかもしれません。
海外のセキュリティメディアである「DataBreaches」はこのほど、ランサムウェア犯罪集団「AlphV(blackcat)」が不正アクセスによる情報流出を公表しない企業の情報を、自ら米国証券取引委員会(SEC)に通報したと報じました。
渦中となっているのは米国金融機関向けサービスを提供するMeridianLink社です。「DataBreaches」によると、AlphVは2023年10月にMeridianLink社のサーバーに侵入し同社の情報ファイルの盗用に成功しました。ところが、MeridianLink社は被害を把握しているにもかかわらず、AlphVが求める金銭支払いに応じなかったとのこと。
このため、AlphVはMeridianLink社がSECを行っていた可能性に着目。自らSECにコンタクトを取り「(MeridianLink社が)サイバーセキュリティ事件の開示規則に違反した」とSECに通報を行ったとのことです。
米国では2023年12月15日以降、公開企業等にて重要情報に関わるセキュリティインシデントが起きた場合、特定の期間(例えば4営業日以内)内にSECへの報告が義務付けられることになりました。MeridianLink社の事案では発行時期に至っていないものの、今後、ひた隠しにする行為は困難になるかもしれません。