米国金融規制当局、機密メールデータを暴露するサイバー攻撃を報告

米国財務省の通貨監督庁（OCC）は火曜日に、2月に発生したサイバーセキュリティの侵害により、金融機関に関連する機密データが漏洩したことを明らかにしました。この事件は、OCCの幹部やスタッフの電子メールアカウントへの不正アクセスを含み、既に対策が講じられています。また、金融規制当局は、この脆弱性についてさらに詳細を公表しました。

公式発表で、国内の銀行を監督・規制する機関であるOCCは、連邦情報セキュリティ近代化法に基づき、「重大な情報セキュリティ事故」を議会に報告したことを説明しました。

OCCによると、2月11日に電子メールとその添付ファイルからの不正アクセスを知り、2月12日に未承認の交信を確認した後、直ちにセキュリティプロトコルを発動し、侵害されたアカウントを無効にして不正アクセスを終了させたとのことです。

OCCと独立したサードパーティーのサイバーセキュリティ専門家による調査により、悪意のある行為者が、連邦規制下の金融機関の財務状況に関する「高度に機密性のある情報」を含む、従業員や幹部の電子メールへアクセスしたことが明らかになりました。

当該機関は最初に、2月26日に電子メールシステムのインシデントをサイバーセキュリティとインフラセキュリティ機関に報告し、金融セクターには影響がないことを明確にしました。脅威は軽減されましたが、評価と更新は続けられています。

「私は、このインシデントに寄与した長年の組織的・構造的な欠陥を解決し、侵害の全範囲を確定するために直ちに手段を講じました」と通貨監督官代理のロドニー・E・フッド氏は述べています。「見つけ出された脆弱性と、不正アクセスにつながった見落とされた内部調査については、完全な責任を負います。」

現在、OCCはITセキュリティポリシーと手続きを分析し、同様の事象を防ぎ、セキュリティを強化するための代替策を探しています。

今月は、メールユーザーやシステムを狙ったいくつかのサイバー攻撃が報告されています。数日前、サイバーセキュリティ企業のSymantecは、偽の配送メールと偽装されたスクリーンセーバーファイルを使用したフィッシングキャンペーンを明らかにしました。また、ASECは、求職者を狙った別のサイバー攻撃を特定しました。