情報漏洩のクリスティーズに対し顧客が集団訴訟。「サイバー攻撃対策と個人情報保護を怠った」
5月上旬、春の主要オークション直前のサイバー攻撃でウェブサイト閉鎖を余儀なくされたクリスティーズ。この事件で50万人以上の顧客の個人情報が流出したことを問題視した顧客が、集団訴訟を提起した。
ニューヨーク・ロックフェラーセンターのクリスティーズ。Photo: Roy Rochlin/Getty Imagesサイバー攻撃で大量の顧客データが漏えい
5月半ば、ニューヨークのクリスティーズは、大規模オークションの前後10日間にわたってウェブサイトを閉鎖する異例の事態に見舞われた。ランサムウェア(保存されているデータを暗号化してシステムを使用不可能にし、解除のために金銭や暗号資産などを要求する不正プログラム)を用いるハッカー集団のランサムハブ(RansomHub)による攻撃が原因だったが、クリスティーズは当初ウェブサイトが閉鎖された理由を「セキュリティ上の技術的な問題」だと説明していた。
ランサムハブは5月27日にクリスティーズへのサイバー攻撃に関する犯行声明を出し、ダークウェブ上のメッセージでは、「合理的な解決を試みた」のにも関わらずクリスティーズ側が交渉の途中で連絡を絶ったと言明している。一方のクリスティーズは、5月30日にサイバー攻撃の事実を認めるメールを顧客に送付。それによると、盗まれたのは本人確認データのみで、財務データや取引データは含まれていなかったという。
これに対し、顧客たちは6月3日、集団訴訟を提起した。ニューヨーク州南部地区連邦地方裁判所に提出された訴状によると、提訴側はクリスティーズが少なくとも50万人分の過去および現在の顧客に関する「個人を特定できる情報(PII)」の保護義務を怠ったと主張。また、情報漏えいの直接的な原因は「(クリスティーズが)予見可能かつ防止可能なサイバー攻撃から消費者の個人情報を保護するために必要な、適切かつ合理的なサイバーセキュリティの手順と通信規格を導入していなかったことにある」と指摘し、「今回のデータ窃盗犯はすでにID窃盗や詐欺に手を染めており、今後も盗んだ情報を使ってさまざまな犯罪を犯す可能性がある」としている。
盗まれた情報には、顧客のフルネームとパスポート番号のほか、パスポートのスキャンデータから得られた生年月日、出生地、性別、それにバーコードのような「MRZ(マシンリーダブルゾーン)」等の機密情報が含まれているとされる。
データ漏えいによる多岐にわたる損害リスク
訴状ではさらに、情報漏えいによるプライバシーの侵害や、「漏えいによる被害を軽減するための対応」で生じた時間・機会損失など複数の「具体的な損害」があるだけでなく、顧客がさまざまなリスクにさらされることになったと主張。たとえば、盗んだ情報を用いた個人名義の金融口座やローンの不正開設、政府給付金の不正受給のほか、別の写真を使った身分証明書を取得して「逮捕時に警察に虚偽の情報を提供する」などの可能性があると訴えている。
現在、集団訴訟で唯一名前が明らかになっているのは、テキサス州ダラス在住のエフスタシオス・マルーリスだ。この名前と所在地に一致するインスタグラムやリンクトインのプロフィールによると、マルーリスは歯科向けソフトウェア企業ジャーヴィス・アナリティクス(Jarvis Analytics)の創業者兼CEOで、デジタルマーケティング会社メサ・シックス(Mesa Six)の創業者兼CEOでもある。なお、ジャーヴィス・アナリティクスは、2021年に歯科・医療用品の大手サプライヤー、ヘンリーシャインに買収されている。
US版ARTnewsは、マルーリスのものと思われるインスタグラムとリンクトインのアカウントにメッセージを送ったが、返信はない。
マルーリスらの提訴によると、2種類以上の個人情報を違法に手に入れたハッカーは、一般に入手可能な情報と組み合わせることで、「驚くほどの範囲の広さと精度の高さ」で「特定の個人に関する完全な情報」を得ることができるという。今回の集団訴訟を最初に報じたアートニュースペーパー紙は、こうした情報はハッカーの間で「フルズ(fullz)」と呼ばれ、「その有用性の高さから、ダークウェブでは部分的な情報よりかなり高値で取引されるのが一般的」だと解説している。
もう一つ注目されるのは、顧客が受ける被害として、データブローカーに関するものが含まれていることだ。訴状では、クリスティーズから個人情報を盗まれた顧客は、ランサムハブがその情報を流出させることで、自発的に自分の個人情報をブローカーに売る際に正当な対価を要求できなくなるうえ、その情報が「本人の同意や許可なしにターゲットマーケティングへの利用を考える企業に渡る可能性もある」とされている。
提訴を受理した連邦地裁のジェシー・M・ファーマン判事は、9月10日に同裁判所で開かれる最初の公判前会議には全当事者の弁護人が出廷するよう6月5日付の文書で命じた。
クリスティーズの対応は?
一方のクリスティーズは、カリフォルニア州司法長官ロブ・ボンタ宛に情報漏えいの届出書を提出した。この件を最初にX(旧ツイッター)への投稿で明らかにしたのは、ニュージーランドを拠点とし、ウイルスやマルウエア対策ソフトを提供しているエムシソフト(Emsisoft)社の脅威分析アナリストであるブレット・キャロウだ。
クリスティーズのCOO、ベン・ゴアの署名があるこの届出書によると、同社は5月9日にサイバー攻撃の被害を受けたことを認識し、外部のサイバーセキュリティ専門家への調査依頼と警察への通報を行った。また、クリスティーズは「CyEx(サイエックス)社の情報漏えい対応サービスであるアイデンティティ・ディフェンス・トータルを12カ月間無料で提供する」としている。これは、アメリカの三大消費者信用情報会社であるエクスペリアン社、エキファックス社、トランス・ユニオン社の信用情報内容に何らかの変更があった場合、それを通知するサービスだ。ちなみに、サイエックス社のウェブサイトには、「アイデンティティ・ディフェンス・トータル」利用の参考料金は月額19.99ドルと記載されている。
クリスティーズの広報担当者は、この集団訴訟についてUS版ARTnewsにコメントすることを避けた。また、これ以外に情報漏えいの届け出をしたかとの質問に対しては、「EU一般データ保護規則(GDPR)をはじめ、国や州が定めた規制を継続的に遵守しており、情報漏えいの届け出は、それに従ってしかるべき当局に提出しています」とメールで回答している。
マルーリスらの訴訟を担当する弁護士事務所、ミルバーグ・コールマン・ブライソン・フィリップス・グロスマンもまた、US版ARTnewsからのコメント要請に応じていない。
クリスティーズはサイバー攻撃を受けたものの、5月のオークションでは電話、対面、オンラインプラットフォーム「クリスティーズ・ライブ」で競売を実施。ロサ・デ・ラ・クルスのコレクションと21世紀美術のセールで1億1470万ドル(約180億円)、20世紀美術のセールで4億1300万ドル(約650億円)を売り上げている。(翻訳:清水玲奈)
from ARTnews
