サイバー関連専門の法律事務所 サイバー攻撃で個人情報が多数漏えい

製造業や小売、金融、IT、インフラなどサイバー攻撃の範囲は広がる一方だ。今度は法律事務所が狙われた。それもサイバー関連を専門で扱う事務所だ。どのような被害があったのだろうか。

[Matt Kapko，Cybersecurity Dive]

　企業のサイバーガバナンスと対応を支援する法律事務所がサイバー攻撃を受け、大量の個人情報が流出した。原因はファイル共有サービスに対する侵害だ。どのような被害が生じたのだろうか。

どのような個人情報が流出したのか

　法律事務所にはさまざまな個人情報がある。同事務から流出したのはどのような個人情報だったのだろうか。

　被害に遭ったのはサンフランシスコを拠点とするOrrick, Herrington ＆ Sutcliffe（以下Orrick）だ。Orrickは企業のサイバーガバナンスと対応の管理を支援する。Orrickがメーン州に2023年12月に提出した最新のデータ漏えい開示書には「当社に対するサイバー攻撃があり、攻撃者は約63万8000人分の機密情報を盗んだ」とある（注1）。

　Orrickは2023年7月時点で、約15万3000人分の個人情報が漏えいしたと断定していた（注2）。影響を受けた個人の数は、約5カ月間で4倍以上に膨れ上がったことになる。

　同事務所によると、2023年2月28日（現地時間、以下同）から同年3月13日の間に、攻撃者はOrrickのシステムにアクセスしてデータを盗み出した。2023年10月中旬に特定の非構造化データに含まれる個人情報の分析が完了したことで数が増えたようだ。

盗まれたデータには広範な情報が含まれていた

　Orrickが情報漏えいを適時に通知しなかったとして被害者は4件の集団訴訟を起こした。Orrickが「和解することで合意に達した」と発表した数週間後に（注3）、今回の被害者の増加が判明した。

　Orrickは、攻撃者がどのようにして同社のシステムにアクセスしたのか、また、身代金を要求されたかどうかについては明らかにしていない。

　盗まれたデータは多様だ。氏名や住所、電子メールアドレス、生年月日、社会保障番号、運転免許証番号、パスポート番号、金融口座情報、クレジットカード番号、デビットカード番号、納税者番号など、個人を特定できる広範な情報を含む。さらに治療や診断に関連する情報、保険金請求情報、医療保険ID番号、医療機関、医療記録番号、アカウントの認証情報などの健康情報も盗まれた。

　Orrickは、情報開示の中で次のように述べた。

　「当社は、ネットワークの継続的なセキュリティを強化するため、第三者の専門家の指導の下、追加のセキュリティ対策とツールを導入した。影響を受けた個人情報の悪用に関する事実は認識していない」

出典：Extent of a cyber specialist law firm’s data breach grows（Cybersecurity Dive）
注1：Data Breach Notifications（Maine Attorney General）
注2：Data Breach Notifications（Maine Attorney General）
注3：Orrick data breach litigation - settlement notice（UNITED STATES DISTRICT COURT NORTHERN DISTRICT OF CALIFORNIA）