カーニバルクルーズが2019年のデータ侵害に対して125万ドルの罰金を支払う / Carnival Cruises to pay $1.25 million fine for 2019 data breach


カーニバル・クルーズは、全米で18万人のカーニバル社員と顧客の情報が流出した2019年のデータ侵害への対応で46人に訴えられ、125万ドルの罰金を支払うことに同意しました。

この情報漏洩は2020年3月に同社が公表したもので、氏名、社会保障番号、住所、パスポート番号、運転免許証番号、支払いカード情報、健康情報などが含まれていました。数千人がこの情報漏洩の影響を受けました。

ハッカーはカーニバル社の従業員のメールアカウントにアクセスし、顧客情報に広くアクセスできるようになった。同社は、情報漏洩を発見したのが一般に公表する10カ月前の2019年5月であることを明らかにし、世間から反感を買いました。

ペンシルベニア州司法長官ジョシュ・シャピロ氏は、「個人情報が悪質な業者に流出した場合、消費者にできるだけ早く通知することが不可欠です」と述べています。遅れが生じれば、その個人データが悪用される可能性が高まります。

カーニバルは個人情報を電子メールで保存し、機密データを扱うのに「他の無秩序な方法」を使っていました。シャピロ氏によると、このようなデータの取り扱い方法は、情報漏えいの通知をより困難なものにします。

ニューヨークのレティシア・ジェームズ司法長官は、カーニバル・クルーズ・ラインは「何千人もの消費者の個人情報を保護することに失敗した」と述べた。

「今日のデジタル時代において、企業は消費者を詐欺から守るためにデータプライバシー対策を強化しなければならない 」と、ジェームズは言った。「休暇中のニューヨーカーが個人情報の流出を心配する必要はないはずだ」

カーニバル社は、金銭的な罰則と同時に、情報漏洩対策計画の実施、従業員への電子メール訓練プログラムの制定、独立した情報セキュリティ評価の実施などに同意した。



【カーニバルコーポレーションはサイバー攻撃に翻弄される / Carnival Cruise hit by data breach, warns of data misuse risk ~サイバー攻撃を受けても対策がずさんなままの企業も世の中には存在する~】2021/7/8

Carnival Cruise hit by data breach, warns of data misuse risk


世界最大のクルーズ船会社であるカーニバル・コーポレーションは、攻撃者が同社のITシステムの一部にアクセスし、顧客、従業員、乗組員の個人情報、財務情報、健康情報を入手したことにより、データ侵害が発生したことを公表しました。

カーニバル社は、S&P500とFTSE100の両株価指数に組み込まれており、約150カ国に15万人以上の従業員を擁し、毎年約1,300万人のお客様にレジャー旅行を提供しています。

同社は、世界有数の9つのクルーズラインブランド(カーニバル・クルーズライン、コスタ、P&Oオーストラリア、P&Oクルーズ、プリンセス・クルーズ、ホーランド・アメリカ・ライン、AIDA、キュナード、シーボーン)と、旅行ツアー会社(ホーランド・アメリカ・プリンセス・アラスカ・ツアーズ)を運営しています。

Data misuse risk warning


"2021年3月19日、限られた数の電子メールアカウントへの不正な第三者によるアクセスが検出されました」と、クルーズライン運営会社大手のカーニバルは、影響を受けた顧客に最近送付したデータ漏洩通知書の中で述べています。

しかし、カーニバル社のSVP兼チーフ・コミュニケーション・オフィサーであるロジャー・フリゼール氏は、記事掲載後に、攻撃者は "同社の情報技術システムの限られた部分 "にアクセスしたと述べています。

"3月中旬、権限のない第三者が、当社の一部のお客様、従業員、乗組員に関する特定の個人情報にアクセスしたようです。

"影響を受けた情報には、ゲストの体験や旅行の予約プロセス、COVIDやその他の安全性テストを含む雇用や会社へのサービス提供の過程で日常的に収集されたデータが含まれています。

カーニバル社によると、アクセスされた情報には、氏名、住所、電話番号、パスポート番号、生年月日、健康情報のほか、一部の限られたケースでは、社会保障番号や国民識別番号などの追加の個人情報も含まれています。

カーニバル社は、影響を受けた顧客、従業員、カーニバル・クルーズ・ライン社、ホーランド・アメリカ・ライン社、プリンセス・クルーズ社、医療業務担当者に対し、「データが悪用される可能性は低い」ことを示す証拠が見つかったと警告しています。 

Hit by ransomware twice in one year


この会社は、2020年8月にもランサムウェアの攻撃を受けていますが、この事件はクルーズライン運営会社が米国証券取引委員会(SEC)に提出した8-Kフォームで確認されました。

その2ヵ月後、カーニバル社は、8月の攻撃の背後にあるランサムウェアギャングが、攻撃中に顧客と従業員の両方の個人情報にアクセスしたことを、発表しました。

カーニバル社がメイン州司法長官室に提出した情報によると、8月のランサムウェア攻撃の影響を受けたのは約37,500人です。

8月のランサムウェア攻撃は、2020年3月に公開されたデータ侵害の後に発生しました。このデータ侵害では、脅威者がカーニバル社の従業員の電子メールアカウントにアクセスしたことにより、顧客の個人情報や財務情報が流出しました。

2021年4月に米国証券取引委員会(SEC)に提出した10-Qフォームによると、2020年12月、カーニバル社は2回目の(以前は未発表の)ランサムウェア攻撃を受け、「調査と修復の段階」がまだ続いているという。

"カーニバル社は、2020年12月のランサムウェア事件について、「現在のところ、潜在的にアクセスまたは取得された情報が悪用された形跡はなく、これらの問題やその他の報告すべき事件を終結させるために、規制当局との協力を続けています」と述べている。

当時、ドイツのクルーズ会社でカーニバルの子会社であるAIDAクルーズが謎の「IT制限」に対処しており、大晦日のクルーズがキャンセルされた。

同じくカーニバル社の子会社であるコスタ・クロシエール社も、12月のランサムウェア攻撃の前後にIT障害が発生し、顧客がクルーズ会社のオンライン予約システムで旅行を予約できなくなった。

AIDAクルーズ、コスタ・クロシエール、カーニバル・コーポレーションの3社は、今回の障害に関するコメントを出していません。