ニューヨークを拠点とするIoTデバイスメーカーのUbiquitiは、軽視されていたデータ侵害を公表しました。大惨事となったデータ侵害のニュースを受けて、同社の株価は大幅に下落しました。
今年1月、Ubiquiti社は顧客に対し、正体不明のサードパーティのクラウドプロバイダーがホストする特定のITシステムへの不正アクセスが発見されたことを通知しました。同社は当時、ユーザーデータが漏洩したという証拠は見つかっていないとしながらも、その可能性を否定できないとして、顧客にパスワードの変更を勧めていました。
Ubiquiti がセキュリティ侵害を公表したとき、同社の株式への影響はわずかで、その後、同社の株式の価値は驚異的に上昇し、1 月 12 日の 1 株あたりおよそ 250 ドルから 3 月 30 日の 1 株あたり 350 ドルまで上昇しました。しかし、セキュリティ侵害が顧客や投資家に信じさせていたよりも大きかったかもしれないというニュースを受けて、ユビキティの株価は本稿執筆時点で290ドルまで下がっています。
3月30日(火)、サイバーセキュリティ・ブロガーのブライアン・クレブス氏は、Ubiquiti社が同社の株式市場価値への影響を軽減するために、実際には「壊滅的」であった事件を「大々的に軽視」していたことを、侵害への対応に関わった人物から聞いたと報告しました。
クレブス氏の情報源によると、侵入者はUbiquiti社のAWSサーバーへのアクセス権を取得した後、ハッキングについて口止めするために同社から50ビットコイン(約300万円相当)を脅し取ろうとしました。情報源によると、「侵入者は、Ubiquitiの従業員のLastPassアカウントから特権的な認証情報を取得し、すべてのS3データバケット、すべてのアプリケーションログ、すべてのデータベース、すべてのユーザーデータベースの認証情報、シングルサインオン(SSO)クッキーの偽造に必要な秘密を含む、UbiquitiのすべてのAWSアカウントへのルート管理者アクセスを得た」とのことです。このハッカーは、リモート認証によってUbiquitiのクラウドベースのデバイスにアクセスしていたとされています。
Ubiquiti社は、クレブス氏の報告を受けて水曜日に声明を発表し、法執行機関による調査が進行中であるため、これ以上のコメントはできないと述べました。"この事件を受けて、当社は外部の事件対応専門家を活用し、攻撃者が当社のシステムから締め出されたことを確認するために徹底的な調査を行いました。"これらの専門家は、顧客情報がアクセスされたという証拠はなく、標的にされたという証拠もないことを確認しました。この攻撃者は、盗んだソースコードと特定のIT認証情報を公開すると脅迫し、当社を恐喝しようとして失敗しましたが、顧客情報にアクセスしたとは言っていません。このことと他の証拠から、今回の事件に関連して顧客情報が標的になったり、アクセスされたりしたことはないと考えています」と述べています。
少なくとも2つの法律事務所が、ユビキティ社が連邦証券法に違反したかどうかを調査しており、同社の投資家に連絡を取るよう呼びかけている。