Home Depotは、第三者のソフトウェア・アズ・ア・サービス(SaaS)ベンダーによるエラーで従業員データが漏洩し、ダークウェブで販売されていることを確認した。漏洩したデータには、従業員の名前、企業ID、メールアドレスが含まれており、これらの情報は標的型フィッシング攻撃に利用される可能性がある。Home Depotは、漏洩したSaaSベンダーの名前を明らかにしていない。
この事件は、企業がSaaSベンダーを選択する際に強固なサイバーセキュリティ保護を持つことの重要性を浮き彫りにしている。DoControlの製品ディレクターであるTamir Passiは、データを提供する前に第三者サプライヤーのワークフローをテストすることを推奨している。また、Hoxhuntの共同創設者兼CEOであるMika Altoは、定期的な監査とセキュリティのベストプラクティスに関する継続的なトレーニングの重要性を強調している。
【編集部後記】
Home Depotは10年前にも、米国とカナダの店舗での購入に関連する顧客のクレジットカードデータが漏洩するという、より大規模なデータ侵害を経験している。
【ニュース解説】
Home Depotが、第三者のソフトウェア・アズ・ア・サービス(SaaS)ベンダーによるエラーで従業員データが漏洩し、その情報がダークウェブで販売されていることを確認しました。漏洩したデータには、従業員の名前、企業ID、メールアドレスが含まれており、これらの情報は標的型フィッシング攻撃に利用される可能性があります。Home Depotは、漏洩したSaaSベンダーの名前を明らかにしていません。
この事件は、企業がSaaSベンダーを選択する際に、サイバーセキュリティの保護機能を重視する必要性を示しています。データを提供する前に、第三者サプライヤーのワークフローをテストすること、実際の従業員データを使用せずに非本番データセットでシステムテストと検証を行うことが推奨されます。また、セキュリティのベストプラクティスに関する継続的なトレーニングと、定期的な監査が重要であるとされています。
このようなデータ漏洩は、企業にとって重大なリスクをもたらします。従業員情報の漏洩は、フィッシング攻撃やその他のサイバー攻撃のリスクを高めるだけでなく、企業の信頼性やブランドイメージにも悪影響を及ぼす可能性があります。そのため、企業はサイバーセキュリティ対策を強化し、第三者ベンダーとの関係においてもセキュリティ基準を厳格に適用する必要があります。
また、この事件は、サイバーセキュリティの観点から、SaaSベンダーの選定と管理の重要性を再認識させます。企業は、サービス提供者のセキュリティ対策を詳細に評価し、データ保護に関する契約条項を明確にすることが求められます。さらに、従業員に対するサイバーセキュリティ教育を強化し、潜在的な脅威に対する意識を高めることも重要です。
長期的な視点では、企業はサイバーセキュリティのリスク管理を組織全体の戦略に組み込む必要があります。これには、技術的な対策の実施だけでなく、従業員の教育、リスク評価の定期的な実施、インシデント対応計画の策定などが含まれます。このようにして、企業はサイバーセキュリティの脅威に対してより効果的に対応し、その影響を最小限に抑えることができるでしょう。
from Home Depot Hammered by Supply Chain Data Breach.
