6月26日:サイバーセキュリティ関連ニュース
米連邦プライバシー法、再改訂案に反発強まる
The Register – Tue 25 Jun 2024
今年4月に法案が提出された米国プライバシー権法(APRA)は、個人情報を管理する権利を国民に与えるという、データプライバシーおよびセキュリティの国家的基準を確立する最高の機会になると期待されていた。しかし21日の再改訂案により、その機会が台無しにされるとの声が上がっている。
米プライバシー保護団体The Lawyers’ Committee for Civil Rights Under Law(LCCRUL)は24日、この改訂によりAPRAの効力が致命的に弱まったと主張。最新案には以前含まれていた公民権保護が省略されるという抜け穴があるため、APRAに反対票を投じるよう各議員に勧告した。
LCCRULの話によると、最新のAPRAではデバイス上で収集・使用される個人データがカバーされておらず、「テクノロジー企業は個人のデバイスに残ったデータを使い、ほぼ何でもできるようになる」とのこと。さらに「データ最小化ルールや子どもに対する保護、広告制限や透明性要件、そして公民権保護も、被害を受けた消費者に対する訴訟権もない」と述べ、先に制定されている州法以下だと断じた。
米高級デパートがデータ侵害を公表 Snowflake顧客狙った攻撃の被害が拡大
米高級百貨店のニーマン・マーカスは24日、同社の顧客情報を保管するデータプラットフォームが侵害されたことを公表した。
このインシデントは2024年4月から5月にかけて発生し、5月には検知されていたという。調査の結果、ニーマン・マーカスは顧客の名前や連絡先データ、生年月日、ギフトカード番号といった情報が不正にアクセスされていたことを突き止め、被害拡大を防ぐための措置を講じるとともに、法執行機関と顧客に通知したと発表した。同社は2013年、2015年、2020年、そして今回と、この10年間に何度もデータ侵害に見舞われている。
ニーマン・マーカスの発表があった直後には、「Sp1d3r」と名乗るハッカーがサイバー犯罪フォーラム上でこのデータベースを売りに出した。Sp1d3rはSnowflakeのクラウドストレージ顧客を狙った最近の攻撃との関与が疑われるハッカーで、ニーマン・マーカスもその被害者として名前が上がっていた企業の1つ。この攻撃でハッカーらはSnowflakeのシステムを侵害するのではなく、インフォスティーラーで収集した顧客認証情報を悪用し、膨大な情報を保管しているアカウントにアクセスしたとみられる。