データ漏洩1000件到達、開示遅延が過去最悪に
原題: 1k Data Breaches Later, the Disclosure Lag Is Worse
なぜ重要か
企業のデータ漏洩開示遅延は被害者保護を阻害し、セキュリティインシデント対応の業界標準向上が急務
セキュリティ専門家Troy Hunt氏が運営するHave I Been Pwnedサイトが1000件目のデータ漏洩を記録した。同氏は近年企業の漏洩開示までの期間が長期化していると指摘。Carnival社の事例では漏洩発覚から開示まで43日を要し、被害者は6週間以上自身のデータ流出を知らされなかった。
セキュリティ研究者のTroy Hunt氏が運営するデータ漏洩確認サイトHave I Been Pwnedに1000件目のデータ漏洩が登録された。同氏は12年半の運営期間を振り返り、GDPRやCCPAなどプライバシー規制が導入されたにもかかわらず、企業のデータ漏洩開示遅延が悪化していると指摘した。
具体例として、クルーズ運営会社Carnival社の事例を挙げた。同社は4月にShinyHuntersグループのランサムウェア攻撃を受け、870万件のレコード(750万のメールアドレス含む)が流出した。4月24日にデータが公開されたが、Carnival社が被害者に通知したのは5月27日で、漏洩発覚から43日後だった。この間、被害者は氏名、生年月日、メールアドレス、ロイヤリティプログラム詳細などの個人情報が流出していることを知らされていなかった。
企業側は「影響範囲の詳細な分析に時間を要した」と説明するが、Hunt氏は「メールアドレスの抽出と早期通知は容易」と反論。開示遅延により被害者が長期間無防備な状態に置かれる現状を批判している。