Ballot box vote UK

イメージミッドジャーニー

英国の情報コミッショナー事務所(ICO)は本日、選挙管理委員会が2021年8月にProxyShellの脆弱性に対するオンプレミスのマイクロソフト・エクスチェンジ・サーバーのパッチを適用しなかったために侵入されたことを明らかにした。

CVE-2021-34473、CVE-2021-34523、CVE-2021-31207として追跡されたこれらのセキュリティ欠陥は、委員会のExchange Server 2016にハッキングし、Webシェルを展開するために連鎖しており、攻撃者はWebシェルとバックドアをインストールした後、永続性を得ることができた。

マイクロソフトは2021年5月にProxyShellの脆弱性連鎖を修正するセキュリティ更新プログラムをリリースしたが、同委員会はシステムに速やかにパッチを当てることができず、攻撃にさらされていた。

この攻撃と配備されたマルウェアは、2021年10月28日に職員が委員会のExchangeサーバーがスパムメールの送信に使用されていることを発見したことで発覚した。

この侵害の間に、脅威者は氏名、自宅住所、電子メールアドレス、電話番号など約4000万人の個人情報にアクセスした。委員会は「その多くはすでに公開されている」と影響を軽視しているが、英国の公開登録簿で公開されているのは有権者の氏名と住所のみである。

「ICOの調査によると、選挙管理委員会は保有する個人情報を保護するための適切なセキュリティ対策を行っていなかった。

“選挙管理委員会はまた、攻撃当時、十分なパスワードポリシーを持っていなかった。” “多くのアカウントは、サービスデスクによって最初に割り当てられたものと同一か類似のパスワードをまだ使用していた。”

UK ICO's Electoral Commission reprimand

平手打ち

本日、ICOは英国の選挙管理当局に対し、システムおよび数百万人の有権者の個人情報を保護する義務を怠ったとして譴責処分を下した。

ICOのスティーブン・ボナー副長官は、同委員会が「効果的なセキュリティ・パッチやパスワード管理など、システムを保護するための基本的な措置を講じていれば、今回のデータ漏洩は起こらなかった可能性が高い」と述べた。

しかし、ボナー氏は、ICOは2021年にアクセスされて以来、個人情報が悪用されたと考える根拠はなく、今回の情報漏洩が影響を受けた有権者に直接的な損害を与えたという証拠はまだ見つかっていないと付け加えた。

英国選挙管理委員会の情報漏洩が公表された数日後の2021年8月、ShodanはProxyShell攻撃に脆弱な数万台のExchangeサーバーを追跡していることを明らかにした。

この情報漏えいは、英国、米国、およびその同盟国が、2021年3月に世界中の何万もの組織を襲った広範な攻撃について、中国の国家安全保障省(MSS)を非難した後に発生した。MSSは、APT40およびAPT31として追跡されている国家が支援するハッキング・グループと関連している。