2021/07/08

カーニバルコーポレーションはサイバー攻撃に翻弄される / Carnival Cruise hit by data breach, warns of data misuse risk(転載)~サイバー攻撃を受けても対策がずさんなままの企業も世の中には存在する~

Carnival Cruise hit by data breach, warns of data misuse risk


世界最大のクルーズ船会社であるカーニバル・コーポレーションは、攻撃者が同社のITシステムの一部にアクセスし、顧客、従業員、乗組員の個人情報、財務情報、健康情報を入手したことにより、データ侵害が発生したことを公表しました。

カーニバル社は、S&P500とFTSE100の両株価指数に組み込まれており、約150カ国に15万人以上の従業員を擁し、毎年約1,300万人のお客様にレジャー旅行を提供しています。

同社は、世界有数の9つのクルーズラインブランド(カーニバル・クルーズライン、コスタ、P&Oオーストラリア、P&Oクルーズ、プリンセス・クルーズ、ホーランド・アメリカ・ライン、AIDA、キュナード、シーボーン)と、旅行ツアー会社(ホーランド・アメリカ・プリンセス・アラスカ・ツアーズ)を運営しています。

Data misuse risk warning


"2021年3月19日、限られた数の電子メールアカウントへの不正な第三者によるアクセスが検出されました」と、クルーズライン運営会社大手のカーニバルは、影響を受けた顧客に最近送付したデータ漏洩通知書の中で述べています。

しかし、カーニバル社のSVP兼チーフ・コミュニケーション・オフィサーであるロジャー・フリゼール氏は、記事掲載後に、攻撃者は "同社の情報技術システムの限られた部分 "にアクセスしたと述べています。

"3月中旬、権限のない第三者が、当社の一部のお客様、従業員、乗組員に関する特定の個人情報にアクセスしたようです。

"影響を受けた情報には、ゲストの体験や旅行の予約プロセス、COVIDやその他の安全性テストを含む雇用や会社へのサービス提供の過程で日常的に収集されたデータが含まれています。

カーニバル社によると、アクセスされた情報には、氏名、住所、電話番号、パスポート番号、生年月日、健康情報のほか、一部の限られたケースでは、社会保障番号や国民識別番号などの追加の個人情報も含まれています。

カーニバル社は、影響を受けた顧客、従業員、カーニバル・クルーズ・ライン社、ホーランド・アメリカ・ライン社、プリンセス・クルーズ社、医療業務担当者に対し、「データが悪用される可能性は低い」ことを示す証拠が見つかったと警告しています。 

Hit by ransomware twice in one year


この会社は、2020年8月にもランサムウェアの攻撃を受けていますが、この事件はクルーズライン運営会社が米国証券取引委員会(SEC)に提出した8-Kフォームで確認されました。

その2ヵ月後、カーニバル社は、8月の攻撃の背後にあるランサムウェアギャングが、攻撃中に顧客と従業員の両方の個人情報にアクセスしたことを、発表しました。

カーニバル社がメイン州司法長官室に提出した情報によると、8月のランサムウェア攻撃の影響を受けたのは約37,500人です。

8月のランサムウェア攻撃は、2020年3月に公開されたデータ侵害の後に発生しました。このデータ侵害では、脅威者がカーニバル社の従業員の電子メールアカウントにアクセスしたことにより、顧客の個人情報や財務情報が流出しました。

2021年4月に米国証券取引委員会(SEC)に提出した10-Qフォームによると、2020年12月、カーニバル社は2回目の(以前は未発表の)ランサムウェア攻撃を受け、「調査と修復の段階」がまだ続いているという。

"カーニバル社は、2020年12月のランサムウェア事件について、「現在のところ、潜在的にアクセスまたは取得された情報が悪用された形跡はなく、これらの問題やその他の報告すべき事件を終結させるために、規制当局との協力を続けています」と述べている。

当時、ドイツのクルーズ会社でカーニバルの子会社であるAIDAクルーズが謎の「IT制限」に対処しており、大晦日のクルーズがキャンセルされた。

同じくカーニバル社の子会社であるコスタ・クロシエール社も、12月のランサムウェア攻撃の前後にIT障害が発生し、顧客がクルーズ会社のオンライン予約システムで旅行を予約できなくなった。

AIDAクルーズ、コスタ・クロシエール、カーニバル・コーポレーションの3社は、今回の障害に関するコメントを出していません。