Verkada to pay $2.95M for security failures leading to breaches

米連邦取引委員会(FTC)は、ハッカーがインターネットに接続された15万台のカメラのライブ・ビデオ・フィードにアクセスすることを可能にした複数のセキュリティ障害について、セキュリティ・カメラ・ベンダーのVerkada社に295万ドルのペナルティを提案している。

カメラの多くは、女性医療クリニック、精神科病院、刑務所、学校など、機密性の高い環境に設置されていた。

FTCはVerkada社がカメラを不正アクセスから守るための基本的なセキュリティ対策を怠っただけでなく、根拠のない約束や投資家から提出されたレビューで製品の安全性を顧客に偽っていたと主張している

さらに、Verkadaは、顧客にオプトアウトの選択肢を与えることなく、販売促進用の電子メールを顧客に送りつけ、CAN-SPAM法に違反しているとしている。

セキュリティの欠陥

2021年3月、ハッカー集団(APT-69420 Arson Cats)がVerkadaのカスタマーサポート・サーバーの脆弱性を利用し、管理者レベルのアクセスを提供していたことが明らかになった。

この特権を悪用して、ハッカーたちはVerkadaのコマンド・プラットフォームにアクセスし、FTCによれば、15万のライブ・カメラ・フィードにアクセスできるようになった。ハッカーはそこから、数ギガバイトのビデオ映像、スクリーンショット、顧客の詳細情報を抽出した。

Verkada社は、2021年の事件の概要の中で、ハッカーは侵入の際に97人の顧客のカメラにアクセスし、画像データを閲覧したと述べている

ヴェルカダの社内システムを何時間も徘徊し、誰も阻止しようとしなかった後、ハッカーはメディアに侵入を自己申告し、ハッキングの証拠として録画されたビデオを公開した。

この事件の前の2020年12月、ハッカーはVerkadaのネットワーク内のレガシー・ファームウェア構築サーバーの欠陥を悪用し、Miraiをインストールしてサービス拒否(DoS)攻撃を仕掛けた。

カメラ・ベンダーが侵害に気づいたのは、その2週間後にアマゾン・ウェブ・サービス(AWS)が侵害されたサーバー上の不審なアクティビティにフラグを立てたときだった、と訴状は指摘している。

FTCは、顧客データを保護するために「クラス最高のデータセキュリティツールとベストプラクティス」を使用していると主張することによって、Verkadaは欺瞞的であり、真実を代表していないと述べている。

具体的には、複雑なパスワードの使用を要求し、顧客データを暗号化し、安全なネットワーク制御を実施するなど、基本的なセキュリティ対策を自社製品で実施していなかった。

さらに、Verkadaの製品が医療保険の相互運用性と説明責任に関する法律(HIPAA)に準拠しており、EU-U.S.間およびスイス-U.S.間のプライバシー・シールドの枠組みにも準拠しているという主張は、FTCによれば虚偽であり、誤解を招くものである。

罰則と規定

ヴェルカーダ社は、将来の法令遵守を保証する意味もあり、295万ドルの民事罰の支払いを求められている。

さらに同社は、自社のITチームと独立した第三者が定期的なセキュリティ評価を実施し、セーフガードの実装とテストを行い、データ・セキュリティに関する従業員トレーニングを実施する包括的なセキュリティ・プログラムを開発し、実施しなければならない。

ヴェルカダは今後、自社のプライバシー、セキュリティ慣行、HIPAAやプライバシー・シールドのような基準への準拠を偽って説明することを禁じられる。

今後20年間、Verkadaはサイバーセキュリティ・インシデントが発生した場合、他の米国政府機関に通知してから10日以内にFTCに報告し、インシデントの全詳細を添付しなければならない。

最後に、Verkadaの商用Eメールには、ユーザーが希望すれば簡単に配信を停止できるよう、配信停止オプションを含める必要がある。

命令の全文とFTCの要求は、規定命令の文書に記載されている。

金曜日に発表された声明の中で、ヴェルカダ社はFTCの主張には同意しないものの、和解条件を受け入れたと述べている