クリーニング企業にサイバー攻撃 どのような被害があったのか

誰でも名前を知っている企業だけが、サイバー攻撃の対象になるのではない。中堅・中小企業が攻撃を受けるとどのような被害が生じるのだろうか。

[David Jones，Cybersecurity Dive]

　サイバー攻撃はありとあらゆる組織を狙ってくる。大企業ばかりではなく、中堅・中小企業もターゲットだ。狙われる業種も多岐にわたる。2023年11月15日に明らかになった事例では、カーペットクリーニング企業が狙われた。

どのような被害があったのか

　この企業は1947年に設立され、住宅や商業市場向けにカーペットやタイル、エアダクトなどのクリーニングサービスを提供している。上場はしていない。

　攻撃を受けたのはオハイオ州ダブリンに本社を置くStanley Steemer Internationalだ。

　2023年11月15日に同社がメーン州の司法長官事務所に提出した消費者情報流出通知書によると（注1）、サイバー攻撃を受けたことで、約6万7000人の顧客に影響が及んだという。通知書を提出したのは、D・ライアン・ヤンコウスキー氏（法務担当バイスプレジデント、最高管理責任者）だ。

　同社が攻撃の兆候をつかんだのは2023年3月6日だ。初期調査の後、同社は「攻撃者は2023年2月10日からシステムにアクセスして、企業のネットワーク内にとどまった後、情報を取得した」と判断した。

　2023年3月の攻撃が発覚した後、同社は連邦当局に通知して、システムのセキュリティを強化し、社内のサイバーポリシーの見直しにも取り組んだ。攻撃に対するレビューは2023年9月7日に完了したという。

個人情報にアクセスが及んだ

　提出された書類によると、影響を受けたのは6万6978人（メーン州は16人）の顧客だ。

　Stanley Steemerは、攻撃者が同社のネットワークに侵入した方法について詳細を明らかにしていない。

　「攻撃者は顧客の氏名や社会保障番号、運転免許証番号、クレジットカードやデビットカードの情報、セキュリティコード、PINコードを含む金融口座情報を入手した可能性がある」（同社）

出典：Stanley Steemer hack breached data of almost 67K customers（Cybersecurity Dive）
注1：Data Breach Notifications（Maine Attorney General）