COVID-19パンデミックによる大量解雇の後も、多くの人々が依然として職探しを続けており、その結果、失業給付を申請し続けています。残念なことに、サイバー犯罪者もこれらのシステムへの攻撃を仕掛けています。AP通信によると、複数の州でサイバー攻撃による失業給付の中断が発生し、依然として失業中の人々への給付が滞っているとのことです。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
サイバー攻撃により各州の失業給付が影響を受ける
ルイジアナ州、ネブラスカ州、テネシー州を含む複数の州が、過去2週間に発生したサイバー攻撃の影響を受け、各州の失業給付関連サイトがオフラインになりました。複数の情報筋によると、40州とワシントンD.C.の失業給付を管理するGeographic Solutions社は、6月26日から始まった攻撃の影響を受けたと報じられています。この攻撃の結果、さらなる被害を軽減するため、複数の州の失業給付関連ウェブサイトがオフラインになりました。
テネシー州の住民に対しては、少なくとも1万2000人への給付金が停止されることになっており、ルイジアナ州では、攻撃の影響で給付金が通常より2日遅れることになる。
ジオグラフィック・ソリューションズは6月29日に発表した声明の中で、攻撃によって個人データがアクセスされたことはなく、ネットワークオペレーションセンターからデータが持ち出されたこともないと考えていると述べた。7月6日現在、ジオグラフィック・ソリューションズのウェブサイトはメンテナンスのためダウンしており、失業給付が完全に再開される時期に関する最新情報は提供されていない。
Cerberus Sentinel の監査、リスク、コンプライアンス担当副社長兼現場 CISO の Tim Marley 氏は、機密データの取り扱いや失業手当の管理をサードパーティ ベンダーに依頼する場合、この種のリスクが要因になると述べています。
「過去10年間で、『オンプレミス』システムから『クラウドホスト』ソリューションへの大きな転換を目の当たりにしてきました」とマーリー氏は述べた。「私たちは、これらのシステムを直接管理・制御する責任を放棄し、ベンダーに任せています。こうした環境の変化により、サードパーティベンダーが私たちのシステムとデータを責任を持って安全に管理していることを検証する必要性が、これまで以上に重要になっています。」
さらに、マーリー氏は、サードパーティベンダーによって収集および処理される個人データや機密データの種類を考慮すると、Geographic Solutions のような企業に見られるようなベンダーのパフォーマンス評価は、より徹底する必要があると述べています。
「成熟したサードパーティリスク管理プログラムには、システムとデータの機密性、完全性、または可用性に直接影響を与える可能性のあるベンダーを評価することが求められます」と彼は述べています。「これらの評価は、新規ベンダーとの契約前に実施する必要があり、既存のベンダーの場合は少なくとも年に1回実施する必要があります。ここ数年、サードパーティの監査および認証市場は大幅に成長し、需要が高まっています。サービスプロバイダーは、顧客基盤を維持し、成熟したセキュリティプログラムを維持するために、自主的にサードパーティによる認証を取得しています。」
現時点では、Geographic Solutions のシステムがどのような種類のマルウェアにさらされたのか、また、すべての失業サイトがいつ再び稼働するのかについては公表されていません。
