メディア
連載
» 2024年02月08日 11時00分 公開

サイバー関連専門の法律事務所 サイバー攻撃で個人情報が多数漏えい

製造業や小売、金融、IT、インフラなどサイバー攻撃の範囲は広がる一方だ。今度は法律事務所が狙われた。それもサイバー関連を専門で扱う事務所だ。どのような被害があったのだろうか。

[Matt KapkoCybersecurity Dive]
Cybersecurity Dive

 企業のサイバーガバナンスと対応を支援する法律事務所がサイバー攻撃を受け、大量の個人情報が流出した。原因はファイル共有サービスに対する侵害だ。どのような被害が生じたのだろうか。

どのような個人情報が流出したのか

 法律事務所にはさまざまな個人情報がある。同事務から流出したのはどのような個人情報だったのだろうか。

 被害に遭ったのはサンフランシスコを拠点とするOrrick, Herrington & Sutcliffe(以下Orrick)だ。Orrickは企業のサイバーガバナンスと対応の管理を支援する。Orrickがメーン州に2023年12月に提出した最新のデータ漏えい開示書には「当社に対するサイバー攻撃があり、攻撃者は約63万8000人分の機密情報を盗んだ」とある(注1)。

 Orrickは2023年7月時点で、約15万3000人分の個人情報が漏えいしたと断定していた(注2)。影響を受けた個人の数は、約5カ月間で4倍以上に膨れ上がったことになる。

 同事務所によると、2023年2月28日(現地時間、以下同)から同年3月13日の間に、攻撃者はOrrickのシステムにアクセスしてデータを盗み出した。2023年10月中旬に特定の非構造化データに含まれる個人情報の分析が完了したことで数が増えたようだ。

盗まれたデータには広範な情報が含まれていた

 Orrickが情報漏えいを適時に通知しなかったとして被害者は4件の集団訴訟を起こした。Orrickが「和解することで合意に達した」と発表した数週間後に(注3)、今回の被害者の増加が判明した。

 Orrickは、攻撃者がどのようにして同社のシステムにアクセスしたのか、また、身代金を要求されたかどうかについては明らかにしていない。

 盗まれたデータは多様だ。氏名や住所、電子メールアドレス、生年月日、社会保障番号、運転免許証番号、パスポート番号、金融口座情報、クレジットカード番号、デビットカード番号、納税者番号など、個人を特定できる広範な情報を含む。さらに治療や診断に関連する情報、保険金請求情報、医療保険ID番号、医療機関、医療記録番号、アカウントの認証情報などの健康情報も盗まれた。

 Orrickは、情報開示の中で次のように述べた。

 「当社は、ネットワークの継続的なセキュリティを強化するため、第三者の専門家の指導の下、追加のセキュリティ対策とツールを導入した。影響を受けた個人情報の悪用に関する事実は認識していない」

出典:Extent of a cyber specialist law firm’s data breach grows(Cybersecurity Dive)
注1:Data Breach Notifications(Maine Attorney General)
注2:Data Breach Notifications(Maine Attorney General)
注3:Orrick data breach litigation - settlement notice(UNITED STATES DISTRICT COURT NORTHERN DISTRICT OF CALIFORNIA)

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。