米連邦取引委員会(FTC)は、複数のセキュリティ障害によりハッカーがインターネットに接続されたカメラのライブ映像にアクセスできたことを受け、セキュリティカメラベンダーのVerkada社に対し、和解の一環として包括的な情報セキュリティプログラムの策定を要求した。
多くのカメラは、女性医療クリニック、精神科病院、刑務所、学校など、機密性の高い環境に設置されていた。
FTCは、Verkada社がカメラを不正アクセスから守るための基本的なセキュリティ対策を怠っただけでなく、投資家が提出した根拠のない約束やレビューで、製品の安全性を顧客に偽っていたと主張している。
さらに、Verkada社は、顧客にオプトアウトの選択肢を与えることなく、販売促進用の電子メールを顧客に送りつけ、CAN-SPAM法に違反した。
同社はこれらの過去のEメール・マーケティング・キャンペーンに対して295万ドルの和解金を支払うことに同意した。
セキュリティの不備
2021年3月、ハッカー集団(APT-69420 Arson Cats)がVerkadaのカスタマー・サポート・サーバーの脆弱性を利用し、管理者レベルのアクセスを提供していたことが明らかになった。
FTCによると、ハッカーたちはこの特権を悪用してVerkadaのコマンド・プラットフォームにアクセスし、15万のライブ・カメラ・フィードにアクセスできるようにしたという。
ハッカーはアクセスしたカメラから数ギガバイトのビデオ映像、スクリーンショット、顧客情報を抜き取った。
2021年の事件の概要の中で、ハッカーたちは侵入の際、同社の顧客ベースの2%にも満たない97人の顧客のカメラにアクセスし、画像データを閲覧したとヴェルカーダ社は指摘している。
ヴェルカダの社内システムを何時間も徘徊し、誰も阻止しようとしなかった後、ハッカーはメディアに侵入を自己報告し、ハッキングの証拠として録画したビデオを公開した。
この事件の前の2020年12月、ハッカーはVerkadaのネットワーク内のレガシー・ファームウェア構築サーバーの欠陥を悪用し、サービス拒否(DoS)攻撃を仕掛けるためにMiraiをインストールした。
カメラ・ベンダーが侵害に気づいたのは、その2週間後にアマゾン・ウェブ・サービス(AWS)が侵害されたサーバー上の不審なアクティビティにフラグを立てたときだったと訴状は指摘している。
FTCは、顧客データを保護するために「クラス最高のデータセキュリティツールとベストプラクティス」を使用していると主張することによって、Verkadaは欺瞞的であり、真実を表していないと述べている。
具体的には、複雑なパスワードの使用を要求し、顧客データを暗号化し、安全なネットワーク制御を実施するなど、基本的なセキュリティ対策を自社製品で実施していなかった。
さらに、Verkadaの製品が医療保険の相互運用性と説明責任に関する法律(HIPAA)に準拠しており、EU-U.S.およびスイス-U.S.のプライバシー・シールドの枠組みにも準拠しているという主張は、FTCによれば虚偽であり、誤解を招くものである。
罰金と規定
Verkada社は、過去のEメールマーケティングキャンペーンに関してFTCと和解し、295万ドルを支払うことに合意した。
さらに、同社は、自社のITチームと独立した第三者機関が定期的なセキュリティ評価を実施し、セーフガードの実装とテストを行い、データセキュリティに関する従業員トレーニングを組織する包括的なセキュリティプログラムを開発し、実施しなければならない。
Verkadaは今後、自社のプライバシー、セキュリティ慣行、またはHIPAAやプライバシー・シールドのような基準への準拠を偽って説明することを禁じられる。
今後20年間、Verkadaはサイバーセキュリティ・インシデントが発生した場合、他の米国政府機関に通知してから10日以内にFTCに報告し、インシデントの全詳細を添付しなければならない。
最後に、Verkadaの商用Eメールには、ユーザーが希望すれば簡単にオプトアウトできるよう、配信停止オプションを含める必要がある。
命令の全文とFTCの要求は、規定命令の文書に記載されている。
金曜日に発表された声明の中で、ヴェルカダ社はFTCの主張には同意しないものの、和解条件を受け入れたと述べている。
Comments