特集記事

グレート・カンナビス・ハック:38万人以上の大麻消費者のデータが漏洩したハッキング事件

402投稿者:

今年初め、「グレート・カンナビス・ハック」として知られるハッキング事件が発生し、北米全域で38万人以上の大麻消費者の個人データが漏洩しました。フォーブスのサイバーセキュリティライター、デイビー・ウィンダー氏が最初に報じたこの攻撃は、薬局のオンライン注文およびロイヤルティプラットフォームを支える複数のサードパーティソフトウェアベンダーを標的としていました。

ウィンダー氏の調査によると、漏洩したデータベースには氏名、メールアドレス、電話番号、購入履歴が含まれており、その多くは認証済みの顧客アカウントやロイヤルティプログラムに紐付けられていた。決済データは漏洩しなかったものの、今回の侵害は、大麻関連技術システム全体にどれほど多くの機密情報が保存されているか、そしてほとんどの消費者がそのデータ管理についてどれほど把握できていないかを浮き彫りにした。

規制当局と小売業者双方にとって、これは警鐘となった。大麻関連企業は大手小売業者に匹敵するデジタルインフラを構築してきたが、同等のセキュリティ文化を育んできた企業はほとんどない。

現在、業界大手の小売テクノロジープラットフォームであるSweed社は、大麻業界初の「バグバウンティプログラム」を立ち上げ、この状況を変えようとしている。これは、犯罪者より先に倫理的なハッカーに大麻の防御策をテストしてもらうための正式な招待制度だ。

新しい種類のセキュリティテスト

11月10日に発表され、HackenProofでホストされているこの取り組みは、世界中の審査済みのセキュリティ研究者を招待して、Sweed のコア Web インフラストラクチャを調査するものです。 

同社は、主流の技術で使用されているのと同じCVSS(共通脆弱性評価システム)標準に従い、検証された脆弱性に対して、その深刻度に応じて最大2,000ドルを支払う。

すべてのテストは定義された範囲内にとどまり、実際の運用を妨げないようにする必要がありますが、それ以外の場合は研究者は「ハッキング」することが推奨されます。

「信頼は獲得するものであり、セキュリティコミュニティをプロセスに迎え入れることで、テストを重ねるごとに強化されるソフトウェアを構築しています」と、Sweedの共同創業者兼CTOであるロッコ・デル・プリオーレ氏は述べています。「バグバウンティプログラムは、潜在的な脆弱性を問題になる前に特定し、修正するのに役立ちます。そして何よりも、Sweedが誇る顧客からの信頼を改めて確認できるのです。」

Sweedのプラットフォームは、薬局や複数拠点を持つ事業者のPOS、Eコマース、マーケティングシステムを支えています。これらのサービスは膨大な量の個人情報や規制関連データを扱うため、攻撃者にとって魅力的な標的となっています。報奨金プログラムは、こうした脆弱性を継続的な共同監査へと転換し、システムをリアルタイムでテストする方法を提供します。

大手テック企業からの借用

シリコンバレーでは、バグ報奨金制度が標準的な慣行となっています。Google、Meta、Appleは、責任を持って欠陥を開示する「ホワイトハット」ハッカーに数百万ドルを支払ってきました。米国国防総省でさえ、「Hack the Pentagon」というプログラムを実施しています。

対照的に、大麻はこれまで主にクローズドシステムの監査と民間のセキュリティ契約に依存してきました。スウィード氏の行動は革新的であり、この転換は時宜を得たものとなるかもしれません。2025年の侵害は、あるベンダーが侵害を受け、複数の薬局の顧客データを漏洩させたことで発生しました。このデータは、ほとんどの小売業者が存在すら知らなかったAPI接続を通じて連鎖的に流出しました。 

米国には連邦レベルのサイバーセキュリティ基準がないため、大麻関連企業は州ごとの規則が断片的に混在する中で事業を展開しています。暗号化と侵害報告を義務付ける管轄区域もあれば、デジタルセキュリティについて全く言及していない管轄区域もあります。

連邦政府によるサイバーセキュリティ基準がないため、事業者はコスト、コンプライアンス、リスクのバランスを取りながら、独自の判断を下すしかありません。SweedのBug Bountyは、この課題をチャンスと捉え直しています。規制当局による監査の要求を待つのではなく、同社は独自のテストを公開しています。

「薬局は、ダウンタイム、データ漏洩、コンプライアンス違反を許容できません」とスウィード氏の声明には記されている。「バグ報奨金制度は、より安定的で回復力のあるプラットフォームを確保し、運営者が問題解決ではなく事業拡大に集中できるようにします。」

予防は回復よりも安価であり、評判にとってはるかに優れています。

バグバウンティは定められた倫理的基準に基づいて運営されます。すべてのテストは、HackenProofに掲載されているSweedの承認済みデジタル資産内で実施する必要があり、実稼働システムや実際のユーザーデータに影響を与えることはありません。 

研究者は責任ある開示ポリシーに従い、機密性を維持し、プラットフォームを通じて直接調査結果を報告する必要があります。

Reference :

A Huge Cannabis Hack Exposed 380k People — Now This Company Is Paying Hackers to Attack It

関連記事:

関連記事はありません。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA