大規模ハッキングの前に暴露されたSECサイバーセキュリティの欠陥
SEC(米国証券取引委員会)は、重大なハッキングの2週間前にサイバーセキュリティ対策が不十分であると警告を受けていたことが分かった。
OIG(Office of Inspector General:米国保健社会福祉省の監察局)の報告書は、SEC の情報セキュリティ プログラム内の潜在的なリスク領域をいくつか強調している。このハッキングにより9,000万ドル(約139億円)の清算が発生し、市場操作に対する懸念が高まった。暴露された報告書では、大規模ハッキングが発生し、財務に重大な影響を及ぼし、市場操作に対する懸念が高まるほんの数週間前に、SEC がサイバーセキュリティ慣行の不備について警告を受けていたことが明らかになった。
SEC、サイバーセキュリティの弱点について警告
1月9日にSECのXアカウントがハッキングされるわずか2週間前に、OIGは同委員会のサイバーセキュリティ対策が不十分であることを強調する報告書を発表した。
Cotton & Company Assurance and Advisorによる独立した評価では、SECはセキュリティ上の弱点を効果的に軽減できていないという結論に達している。同報告書はSECに対し、情報セキュリティプログラムを改善するために特定された潜在的なリスク領域に対処するよう要求している。
OIGレポートの詳細
30ページ近くにわたる包括的な報告書では、SECのセキュリティプロトコルに改善が必要ないくつかの領域が概説されている。
これには、脆弱性開示ポリシーの維持とログ記録要件の遵守が含まれており、SECの最高情報責任者であるデビッド・ボトム(David Bottom)氏は、リスク管理、サプライチェーン、セキュリティトレーニング、継続的な診断と監視などのいくつかの領域で改善の必要性を認めた。なお、これらの報告を受けてSECは、45日以内に行動計画を提出するよう指示されている。
しかし、行動計画が実行される前に、SECはハッキングされている。権限のない者が同委員会のXアカウントにアクセスし、虚偽のビットコインETF 承認発表を投稿。これにて9,000万ドル(約139億円)の清算が発生し、市場操作に対する懸念が生じた。SECが2要素認証を有効にしていなかったため、ハッカーがSIMスワッピング攻撃を介して手数料アカウントにアクセスできたことが明らかになり、事件はさらに複雑になった。
このハッキングは幅広い批判を呼び、アン・ワグナー(Anne Wagner)下院議員はこの事件と数百万の投資家への影響に深い懸念を表明。SECは弁護の立場で、不正アクセスは通信事業者を介して行われたものであり、通信事業者のシステムを介したものではないと述べている。しかし、この事件はSECがサイバーセキュリティ対策を強化する緊急の必要性を浮き彫りにしており、このハッキングの影響とそれに対するSECの対応は、おそらく委員会内の将来のサイバーセキュリティ ポリシーを形作ることになると予想されている。
OIG の報告書とその後のハッキングで浮き彫りになったように、SEC のサイバーセキュリティの欠陥は、金融機関における堅牢なセキュリティ対策の必要性を浮き彫りにしている。この事件は財務に重大な影響を与えただけでなく、市場操作に対する懸念も引き起こしており、SECがこれらの問題にどのように対処し、将来的にサイバーセキュリティの枠組みを強化するかはまだわからない。