インターコンチネンタル取引所(ICE)は、子会社が2021年4月に発生したVPNセキュリティ侵害を迅速に報告することを怠ったとして、米国証券取引委員会(SEC)から提起された告発を解決するため、1000万ドルの違約金を支払うことになった。
ICEは、ニューヨーク証券取引所(NYSE)を含む世界各地の金融取引所や清算機関を所有・運営するフォーチュン500に掲載されている米国企業である。2023年の従業員数は13,000人を超え、総収益は99億300万ドルと報告されている。
Regulation Systems Compliance and Integrity (Regulation SCI)が要求しているように、企業はセキュリティ・インシデントの侵入について直ちにSECに通知し、業務や市場参加者への影響が無視できると判断されない限り、24時間以内に最新情報を提供しなければならない。
「Reg SCIの対象となる回答者は、要求された通りに問題の侵入をSECに通知しなかった。むしろ、同様のサイバー脆弱性の報告を評価する過程で、欧州委員会のスタッフが回答者に連絡を取ったのである。
SECは、「命令書で主張されているように、彼らはその影響を評価するために4日間を費やし、内部的にそれが最小限の出来事であると結論づけた。サイバーセキュリティ、特に重要な市場仲介機関での出来事に関しては、一刻一秒を争うものであり、4日間は永遠に続く可能性がある。
ICEは2021年4月15日、仮想プライベート・ネットワーク(VPN)の未知の脆弱性に関連したシステム侵入の可能性を第三者から知らされ、事件を発見した。
国家のハッカーと疑われる人物による侵入
その後の調査により、脅威行為者が、同社の企業ネットワークへのリモートアクセスに使用された侵害されたVPNデバイス上に悪意のあるペイロードを展開したことが判明した。
「国家ハッカーと思われる洗練された脅威行為者は、侵害されたVPNデバイスにWebシェルコードをインストールし、従業員の名前、パスワード、多要素認証コードなど、そのデバイスを通過する情報を取得しようとしました。このデータによって、脅威者は企業内部のネットワークにアクセスすることができた」とSECの命令は明らかにしている。
しかし、ICEのセキュリティチームは、脅威行為者が “VPN設定データと特定のICEユーザーのメタデータ “を流出させることができた証拠を発見したにもかかわらず、攻撃者のアクセスは侵害された1台のVPNデバイスに限定されたと判断することができた。
SECによると、ICEの職員はこのVPNセキュリティ侵害について、同社の子会社の法務・コンプライアンス担当者に数日間通知せず、Reg SCIの規則とICE自身の内部サイバーインシデント報告手順の両方に違反したという。この失敗の結果、ICEの子会社は侵入を適切に評価できず、Reg SCIの開示義務を果たさなかった。
ICEとその子会社はSECの命令に同意し、子会社がSCI規則の通知規定に違反し、ICEがこれらの違反を引き起こしたことを認めた。
SECの調査結果を認めることも否定することもなく、ICEとその子会社はRegulation SCIの規則違反の停止と1,000万ドルの民事罰金の支払いを求める排除措置命令にも同意した。
Comments