不正アクセス被害企業に罰金

不正アクセス被害企業が罰金をとられたニュース。
DA Davidson To Pay FINRA Fine – Financial Planning
2007年にSQLインジェクションで顧客情報が流出した投資銀行DA Davidsonに対して、FINRAが罰金を課した。DA Davidsonは事実関係は認めていないが罰金支払いに同意した。金額は$375,000.-だから、3千5百万円くらいか。
DA Davidsonは2007年10月までに外部の監査人やコンサルタントにコンピューター・セキュリティの評価をしてもらったが、その結果勧められた侵入検知システムを導入していなかった。その後、2007年12月にハッカーがサーバーに侵入し、データを取得、その後脅迫メールを送ってきて初めて被害が露見。
攻撃されたサーバーはWebサーバーにDBが同居、ただし特にDBを使うようなサービスは提供していなかったようだから、めんどくさいから一緒にのっけとけ、ということか。
攻撃の痕跡はWebサーバーのログに残っていたが、ログ監査が実施されていなかったので気付かなかった。
DA Davidsonは既に改善措置に$1.3M (1億2千万円くらい)を支出、被害者からの集団訴訟も起きている。
FINRA
FINRAは米国金融業の自主規制団体だそうだ。
野村資本市場研究所|新たな自主規制機関FINRAの誕生

資本市場クォータリー 2007年秋号
新たな自主規制機関FINRAの誕生
関 雄太
# 全米証券業協会(NASD)とニューヨーク証券取引所(NYSE)の会員規制機能(NYSEレギュレーションによって担われていた)の合併により、米国証券業界の新たな自主規制機関FINRA(金融取引業規制機構)が発足した。FINRAは、約5,100社にのぼる全米の会員証券会社や登録外務員の監督などを行い、米国証券業界の自主規制の中心的な役割を担うことが期待されている。
# NYSEの株式会社化・上場や、米国の証券市場規制における国際競争力の議論などを背景に進んできた米国の自主規制機関の再編は、FINRAの誕生によってひとつの節目を迎えたと言える。
# 今後は、FINRAの独立性とガバナンス、自主規制の効率性、ルールブックの統一などが注目点となろう。

コメントを残す

メールアドレスが公開されることはありません。