要約

  • 確認された公的記録:2019年12月31日頃に始まったランサムウェア攻撃により、Travelex はシステムをオフラインにせざるを得なくなり、2020年1月の通貨サービスが混乱した。公開報道では Sodinokibi/REvil の犯行声明、身代金要求、データ窃取疑惑が特定された。一方で Travelex は、顧客データが侵害された証拠はないと述べたと報じられている。Travelex のその後の再建発表と PwC の管理資料は、深刻な取引圧力の後、事業が2020年に大規模な債務再編と管理手続きに入ったことを示している。(Guardian 2020年1月の報道Guardian 紙の請求書の報道Travelex 再建発表PwC 管理ページ
  • 依存性の問題:Travelex は単なる小売の外貨両替所ではなかった。提携銀行や小売ブランドに旅行資金サービスを提供しており、そのためシステム停止は、自分たちが銀行やスーパーマーケットを利用していると思っていた顧客にも影響を及ぼした。パートナーとのコミュニケーション、返金処理、支店での代替作業、顧客対応コストがインシデントの一部となった。(BBC 2020年1月の報道Guardian サービス再開の報道
  • パッチ適用の境界:公開報道とその後のセキュリティ解説は、この攻撃を未パッチの Pulse Secure VPN の脆弱性(CVE-2019-11510)の悪用と結びつけた。CISA は2020年1月に、未パッチの Pulse Secure VPN サーバーが悪用されており、犯罪者がそうしたシステムに対して REvil/Sodinokibi ランサムウェアを使用しているとのメディア報道があったと警告した。このことは脆弱性管理の説明責任の問題を裏付けるが、公的記録には、初期アクセスの全段階を証明する Travelex 公開のフォレンジックレポートは依然として存在しない。(CISA Pulse Secure アドバイザリCVE-2019-11510 レコード
  • 評価:犯罪者が恐喝をコントロールした。Travelex はエクスポージャー管理、復旧、パートナーの代替対応、直接のコミュニケーションを管理した。銀行と小売パートナーは顧客向けの約束と返金を管理した。債権者と管理人はその後の再建計画を管理した。旅行者、支店スタッフ、小規模な取引先は、財務的な再編が事業継続の失敗を企業の形で可視化する前に、不確実性の多くを甘受した。

通貨サービスは停止するまで小さく見える

外国為替サービスは、一見利便性のレイヤーに見える。旅行資金のウェブサイト、キオスク、空港カウンター、プリペイドカード、銀行ブランドの注文ページ、スーパーマーケットの受け取り場所。このイメージは依存性を過小評価している。Travelex は多くの目に見える顧客インターフェースの背後に位置していた。そのシステムがオフラインになったとき、顧客はそれを純粋な Travelex の問題としては経験しなかった。銀行の問題、スーパーマーケットの問題、返金の問題、支店の問題、旅行の問題、あるいは旅行の始まりに現金の問題として経験したのである。

だからこそ、2020年のランサムウェアインシデントはリスクと説明責任のシリーズに属するのである。問われるべきは、単に Travelex のネットワークにマルウェアがあったかどうかではない。問われるべきは、専門プロバイダーのシステムが危機の間、利用可能で、パッチが適用され、復元可能で、コミュニケーションが取れるという前提のもとに、どれだけの組織が旅行資金の約束を構築していたかである。

このインシデントは暦の端で始まった。2019年大晦日、Travelex はサイバー攻撃を受けてシステムをオフラインにした。1月初旬、同社のウェブサイトとオンラインサービスはダウンしたままであり、公開報道は支店とパートナーの混乱を伝えた。Guardian は、Sodinokibi ランサムウェアグループを名乗る攻撃者が支払いを要求し、自分たちが取得したとするデータを公開すると脅したと報じた。Travelex は、現時点で個人データや顧客データが侵害された証拠はないと述べたと報じられた。(Guardian 1月7日の報道

業務上の影響は容赦なかった。一部の拠点では、ウェブサイトがダウンしたまま、スタッフが紙の請求書を使用していたと報じられた。銀行や小売パートナーの顧客は、利用できない旅行資金サービスに直面した。パートナーブランドは、直接引き起こしたわけではない障害を、自社の顧客に説明しなければならなかった。(Guardian 紙請求書の報道BBC の報道

旅行者にとって、通貨注文の停止は抽象的には存亡にかかわるものではない。しかし、その瞬間にはコストとストレスを生じさせ得る。顧客は、カード受け入れが不安定な目的地のための現金、子供のためのプリペイドカード、出発前の返金、銀行を通じて行った注文の証明などを必要とするかもしれない。従業員にとって、障害はツールの劣化、手作業、心配する顧客、不明瞭な指示を意味した。提携銀行や小売業者にとっては、コールセンターの負荷、評判リスク、代替作業を意味した。Travelex の債権者にとっては、既に債務を抱え、その後 COVID-19 による旅行需要の崩壊に見舞われた事業への更なる圧力の一つとなった。

時系列はインシデント対応と社会的圧力を混ぜ合わせた

公開されている時系列は、2020年1月の Travelex による公式なインシデントアップデートの多くが、もはや単一の信頼できるアーカイブとして扱うのが容易ではないため、ノイズが多い。最も強力で耐久性のある記録は、同時代の信頼できる報道、CISA の公開脆弱性警告、Travelex の8月の再建発表、PwC の管理資料を組み合わせたものである。

2020年1月7日、Guardian は Travelex がランサムウェアの被害に遭い、ウェブサイトがダウンし、攻撃者がデータをコピーしたと主張し、同社が個人データや顧客データの侵害の証拠はないと述べたと報じた。BBC も同日、ランサムウェア要求とサービスの混乱を報じ、Travelex とそのパートナーに影響を及ぼす問題であると特定した。(Guardian 1月7日の報道BBC の報道

1月8日、Guardian は、ウェブサイトがオフラインのままスタッフが紙の請求書を使用しており、影響を受けた銀行や小売チャネルを特定したと伝えた。この報道は、実際に劣化した代替手段を示しているため重要である。手動の代替手段は一部の取引を継続させることができるが、エラー率、調整作業、不正防止管理、顧客待ち時間、従業員の作業負荷をも変化させる。(Guardian 紙請求書の報道

1月13日、Guardian は、ランサムウェア攻撃の後、Travelex の一部のサービスが再開し始め、店舗サービスの一部を含むが、すべてのシステムが正常に戻ったわけではないと報じた。この日付は、復旧が単純なスイッチの切り替えではないことを示しているため重要である。サービスは不均一に再開する可能性がある。あるチャネルは復旧し、別のチャネルは保留中、あるパートナーは再接続し、別のパートナーは独自の顧客通知を管理するというように。(Guardian サービス再開の報道

1月10日、CISA は Pulse Secure VPN の脆弱性(CVE-2019-11510)の継続的な悪用に関するアドバイザリを発行した。アドバイザリは、組織が直ちに影響を受けるシステムにパッチを適用すべきであり、サイバー犯罪者が未パッチの Pulse Secure VPN サーバーを標的として REvil/Sodinokibi ランサムウェアをインストールしているとのメディア報道に言及した。(CISA Pulse Secure アドバイザリ)このアドバイザリは Travelex のフォレンジックレポートではない。しかし、これは公開で議論された脆弱性を同じ期間とランサムウェアのエコシステムに位置づけているため、依然として中心的である。

2020年8月までに、このインシデントはより広範な財務再編の記録の一部となっていた。Travelex Financing Plc は債務再編の完了を発表し、負債が3億8500万ポンド超から1億6000万ポンドに削減され、新グループが8400万ポンドの新たな流動性を受け取るとした。発表は COVID-19 による旅行崩壊を強調したが、それはサイバー攻撃がすでにサービスの可用性と信頼を弱体化させていた年を経てのことであった。(Travelex 再建発表

PwC の管理ページは、Travelex Banknotes Limited が2020年7月21日に管理手続きに入り、他の複数の Travelex エンティティが再編の一環として2020年8月6日に管理手続きに入ったことを記録している。また、債権者のためのそれらのエンティティのその後の管理、および管理後のプロセスについても記録している。(PwC 管理ページPwC 初日発表 PDF

したがって、この時系列には二つの層がある。第一はインシデント対応である。システム停止、手動の代替手段、パートナーの混乱、身代金要求の圧力疑惑、段階的な復旧。第二は財務の継続性である。甚大な混乱を受けた旅行資金事業が、同じ年に再建および管理手続きに入ったことである。ランサムウェアだけが再建を引き起こしたと言うのは不注意であろう。COVID-19 による旅行崩壊は巨大な独立したショックであった。ランサムウェアインシデントを事業継続の記録から消し去ることも同様に不注意であろう。

アウトソーシングがパートナーブランドを障害の一部にした

Travelex の障害は、ホワイトラベル依存の教訓であった。顧客は旅行資金を銀行やスーパーマーケットのウェブサイトから注文し、そのブランドを責任あるサービスプロバイダーとして認識するかもしれない。裏側では、専門の通貨サービスプロバイダーが価格設定、注文処理、履行、在庫、決済、支店や配送のワークフローを提供している可能性がある。専門業者が機能不全に陥ったとき、目に見えるブランドは依然として顧客の信頼を負っている。

Guardian と BBC の記事は、複数のパートナーチャネルの顧客に混乱が生じたことを特定した。詳細はパートナーによって異なっていたが、パターンは一貫していた。Travelex と直接のセキュリティ関係を持たない顧客が、Travelex のシステム停止の影響を受けたのである。(BBC の報道Guardian 紙請求書の報道

これにより、当該障害はアウトソースされたオペレーショナルレジリエンスの実践的なテストとなった。銀行や金融機関は機能をアウトソースできるが、顧客の説明責任をアウトソースすることはできない。後の英国の金融規制は、オペレーショナルレジリエンスの期待を通じて、この点をより明確にした。これらは、企業に対し、重要なビジネスサービスを特定し、影響許容度を設定し、第三者依存を管理することを要求する。FCA のオペレーショナルレジリエンス資料は、Travelex またはそのパートナーについての遡及的な認定ではないが、教訓を捉えている。顧客向け企業は、アウトソースされたサービスが許容可能な限度内で機能不全に陥り得るかどうかを理解しなければならない。(FCA オペレーショナルレジリエンスFCA PS21/3

Travelex のインシデントは、真の問題がプロバイダーにある場合のパートナーのステータスページやカスタマーサービススクリプトの弱点も露呈させた。銀行は、旅行資金の注文が利用できないと顧客に伝えることはできるが、プロバイダーのシステムが数時間で戻るのか、数日かかるのか、数週間かかるのかを知ることはできないかもしれない。カスタマーサービス担当者は返金や代替案を提示できるが、プロバイダーのプラットフォームがダウンしている場合、取引詳細にアクセスできないかもしれない。パートナーは原因や復旧を証明できないまま、症状について透明性を保つことができる。

その依存性は、インシデントの前にモデル化されるべきだった。パートナー契約は、脆弱性管理の証拠、テスト済みのインシデント対応、最大停止期間、手動履行手順、データ保護通知、侵害時のコミュニケーションタイムライン、返金権限を要求できたはずである。一部の契約はそうしていたかもしれないが、公的記録にはパートナーごとの事業継続スコアカードは示されていない。目に見える結果は、プロバイダーに起因する混乱を説明するブランドのネットワークであった。

パッチ適用の問題は証拠に裏付けられているが、なお境界がある

Travelex インシデントについて最も繰り返し語られる技術的主張は、攻撃者が未パッチの Pulse Secure VPN の脆弱性である CVE-2019-11510 を悪用したというものである。CVE レコードは深刻な Pulse Connect Secure の欠陥を説明している。CISA の2020年1月のアドバイザリは、未パッチの Pulse Secure VPN サーバーが悪用されており、そうしたシステムに対して REvil/Sodinokibi が展開されているとのメディア報道があったと警告した。(CVE-2019-11510 レコードCISA Pulse Secure アドバイザリ

こうした公的証拠は、脆弱性管理の説明責任の問題を裏付ける。それだけでは、Travelex が公開した事後分析の代わりにはならない。責任ある説明は、公開報道とセキュリティ解説が攻撃を未パッチの VPN 脆弱性に結びつけ、CISA が同じ期間に同種の悪用について警告したと述べるべきである。全ての認証情報、ホスト、ラテラルムーブメントの経路、復旧判断を知っていると主張すべきではない。

それでもパッチ適用の問題は極めて重要である。境界装置の脆弱性は、その装置が企業システムへのリモートアクセスを仲介する場合、軽微な運用管理の失敗ではない。パッチまたは緩和策が利用可能で広く警告されている場合、企業は資産インベントリ、エクスポージャースキャン、緊急変更承認、補償的制御、認証情報のリセット、フォレンジックレビューを管理しなければならない。また、脆弱な製品に依存しているサードパーティのシステムやマネージドサービスがどれかを把握しておく必要がある。

公的な教訓は、「より速くパッチを」というよりも「より速くエクスポージャーを証明せよ」である。通貨サービスプロバイダーにおいて、脆弱なリモートアクセスアプライアンスは単なる IT 資産ではない。それは、インターネットエクスポージャーと取引システム、パートナーサービス、ファイル共有、ID ストア、顧客データ、復旧遅延との間の蝶番となり得る。説明責任を果たすべき制御は、脆弱性管理ループ全体である。つまり、資産が存在すること、エクスポージャーがあることの認識、修正の適用、修正の検証、侵害のログレビュー、認証情報のローテーション、パートナーへのリスク伝達である。

NCSC と CISA のランサムウェアガイダンスも、同じ点をより広範に述べている。適切なランサムウェア対策には、パッチ適用、アクセス制御、バックアップ、テストされた復元、インシデント対応計画、ネットワークセグメンテーション、ログ記録、コミュニケーションが含まれる。(NCSC ランサムウェアガイダンスCISA StopRansomware ガイドFBI ランサムウェアガイダンス)これらの対策は飾りではない。それらは、あるエクスプロイトが封じ込められたイベントになるか、業務停止になるか、連鎖的なサービス障害になるかを決定する。

手動代替手段は機能した、ただし部分的に

Travelex インシデントで印象に残ったのは身代金要求ではない。紙だった。スタッフが紙の請求書を書いているという報道は、同社が劣化モードで取引する能力をある程度保持していたことを示した。それは完全な停止よりはましである。また、デジタルシステムが中心であったために、劣化モードが顧客に可視化されたことの証拠でもある。(Guardian 紙請求書の報道

手動代替手段はしばしば誤解される。紙のフォームは取引を保存できるが、現代の通貨プラットフォームを完全に再現することはできない。リアルタイムレート、制裁スクリーニング、在庫、決済、注文状況、顧客本人確認、カード処理、返金、支店調整、不正監視、パートナーレポート、財務システムには接続できない可能性がある。また、後で再入力しなければならないバックログを生み出し、エラーリスクと従業員の疲労を生む。

Travelex にとって、代替手段はチャネルにも依存した。空港のデスクでは手動で通貨を販売できたかもしれないが、銀行ブランドのオンライン注文ページでは不可能だったかもしれない。パートナーのコールセンターは返金はできても注文は履行できないかもしれない。プリペイドカードや送金のワークフローには特定のデジタルサービスが必要かもしれない。両替所の支店では限られた商品のみ継続できたかもしれない。したがって、復旧は単一の企業状態ではなく、チャネルごとに起こった。

正しい説明責任の問いは、代替手段が実際の依存関係チェーンに合わせて設計されていたかどうかである。銀行パートナーはテスト済みのプレイブックを持っていたか? Travelex のスタッフはいつ紙のフォームを使うべきか、それをどのように調整するかを知っていたか? 不正防止管理は適応されたか? どの商品が利用可能でどれが利用不可能か顧客に伝えられたか? 返金は目に見えるパートナーに委ねられたのか、Travelex が保持したのか? 小規模な旅行代理店、空港デスク、地域パートナーは主要銀行と同じ明確さを受け取ったか?

公開報道は完全な答えを提供していない。手動の作業が行われ、サービスが段階的に再開されたことは示している。テストされた事業継続計画、顧客の待ち行列データ、返金件数、パートナーのクレーム、調整エラー、従業員の残業は示していない。この不在は、アウトソースサービス障害で繰り返されるパターンである。一般には停止と再開は見えるが、その間の作業コストは見えない。

異なる商品が異なる損害を生んだ

「旅行資金」という語句は、異なる障害モードを持つ複数の商品を隠している。支店受け取り用に注文された現金は、自宅配送用に注文された現金と同じではない。プリペイド旅行カードは両替所カウンターでの交換と同じではない。企業向け卸銀行券注文は消費者返金と同じではない。パートナーブランドのオンライン注文は、Travelex 直営支店の取引と同じではない。回復力のあるプロバイダーは、これらの商品のうちどれが手動で運用可能か、どれが安全に一時停止できるか、どれがライブ決済を必要とするか、旅行日直前に失敗した場合に最も高い顧客損害を生むか、を把握していなければならない。

現金はタイミングの損害を生む。旅行者は代わりにカードを使えるかもしれないが、常にそうではない。カード受け入れが不確かな目的地に向かうため、到着後すぐに小額紙幣が必要なため、扶養家族と旅行するため、あるいは海外 ATM 手数料を信用しないために現金を求める顧客もいる。事前に注文した現金受け取りが出発前日に失敗した場合、返金だけではサービス約束は回復しない。顧客は別のプロバイダーを探すか、より悪いレートを支払うか、別の支店まで行くか、希望のバッファーなしで出発しなければならない可能性がある。

カードやオンライン注文は異なる損害を生む。プリペイド旅行カードは、アカウントアクセス、チャージ、残高、PIN、モバイルアプリ、カード再発行、顧客認証を伴うことがある。ウェブサイト停止は、物理的な現金が存在する場合でも、顧客がステータスを確認したり注文を完了したりするのを妨げる可能性がある。パートナー銀行は、自社が見えない注文についての質問に答えなければならないかもしれない。プロバイダーのシステムがオフラインの場合、目に見えるパートナーは問題を解決するのに十分な事実のない、苦情のルーターになり得る。

卸および法人顧客は別の層を生み出す。銀行、旅行会社、空港、小売パートナーは、決済ファイル、在庫予測、支店割り当て、調整レポートに依存している可能性がある。これらが遅延した場合、インシデントは単なる小売の不便さではなく、財務および運用の問題となる。小規模パートナーは、即時のカスタムアップデートを要求する交渉力が弱いかもしれないが、それでも窓口で顧客に直面する。

これらの違いは、「サービスが再開した」という表示はあまりにも大雑把な復旧指標であるため、説明責任にとって重要である。ある商品ラインは戻っても、別の商品ラインは障害が続くかもしれない。あるパートナーは注文を復旧させても、別のパートナーは認証やバックログ整理を待っているかもしれない。あるチャネルは新規取引を受け付けても、返金は遅いままかもしれない。優れた継続性報告は、こうした状態を分離し、最初の公開復旧見出しの後もどの顧客がエクスポージャーを抱えたままだったかを説明するだろう。

パートナーの代替手段はガバナンス設計の問題だった

パートナーの代替手段は、最も難しい決定が不十分な情報の下でなされるため、障害が起こる前に設計されるべきである。通貨サービスプロバイダーに依存する銀行は、プロバイダーのプラットフォームが1日、3日、2週間オフラインになった場合に何が起こるかを事前に知っておくべきである。計画は、銀行が新規注文を一時停止するか、代替プロバイダーを使用するか、自動的に返金するか、顧客を支店に誘導するか、既存のレートを尊重するか、データリスクの不確実性を伝えるか、あるいは間もなく旅行する脆弱な顧客を優先的に対応するか、を定めていなければならない。

Travelex のインシデントは、それを一般的な危機文言に任せてはいけない理由を示した。銀行パートナーはプロバイダーのランサムウェア対応を管理できないかもしれないが、自社のウェブサイト、アプリ通知、支店スクリプト、コールセンターガイダンス、返金権限は管理している。また、プロバイダー依存についてどれだけ開示するかも管理している。顧客が銀行ブランドのサービスを通して入ってきた場合、顧客は技術的な障害が Travelex にある場合でも、銀行が解決を所有することを当然期待するかもしれない。

Travelex にとって、パートナーの代替手段は異なる規律を必要とした。同社は、主要パートナーに一貫したステータス更新、データリスク文言、チャネル別の復旧見積もり、商品の可用性、手動処理ルールを提供する方法が必要だった。また、あるパートナーにした約束が他では守れない、という事態を避ける必要もあった。ホワイトラベルネットワークでは、情報の不平等自体がリスクとなる。なぜなら、顧客が通知を比較し、隠蔽または混乱のいずれかを推測するからだ。

ここで小規模な取引先が締め付けられ得る。大手銀行や小売業者は、直接のエスカレーションライン、法務チーム、交渉されたサービス条件を持っているかもしれない。小規模な販売店、旅行代理店、地域パートナーは、一般的な更新情報や地元の連絡先に頼るかもしれない。プロバイダーの注意が最大手の取引先に集中すると、小規模事業者は不確実性、顧客の怒り、調整作業の不均衡な割合を負う可能性がある。

オペレーショナルレジリエンスの枠組みは後にこの考えの多くを正式化したが、実践的な教訓は2020年1月にすでに見えていた。目に見える顧客サービスをアウトソースするには、共有の障害スクリプト、共有の返金ルール、共有のデータ通知基準、共有のエスカレーショントリガー、テストされた手動手順が必要である。さもなければ、ランサムウェアインシデントの最初の数日間は、誰が顧客を所有するかの生きた実験となる。

証拠の質は不確実性を明示することにかかっている

Travelex の記録が有用なのは、まさにそれが不完全だからである。それは単一の公開フォレンジックレポートではなく、報道記事、脆弱性警告、後の破産文書、再建発表を組み合わせている。つまり、本稿は証拠を層として扱わなければならない。サービスの停止と手動代替手段は、同時代の報道によって強く裏付けられている。管理手続きと再建は、Travelex と PwC の記録によって裏付けられている。脆弱性の説は、公開報道と、Pulse Secure VPN サーバーの悪用に関する CISA の一般的なアドバイザリによって裏付けられているが、Travelex が作成した攻撃チェーンの公開ではない。

この層状の証拠基準は、顧客と読者を二つの逆の過ちから守る。一つの過ちは、攻撃者の主張を、それが劇的で具体的だったからといって事実として受け入れることである。もう一つは、犯罪者から来たからといって攻撃者の主張を完全に無視することである。責任ある中道は、犯罪者がデータ窃取を主張し金銭を要求したこと、Travelex は顧客データ侵害の証拠はないと述べたと報じられたこと、そして一般には、いずれかの声明を完全な最終報告に変えるのに十分なフォレンジック証拠を受け取らなかった、と言うことである。

同じ基準が復旧にも適用される。サービスが再開し始めたという報道は、完全な運用復旧を証明しない。支店が開いていてもオンライン注文は障害が続いているかもしれない。パートナーは新規注文を受け付けていても返金は遅いままかもしれない。システムは復旧していても手動請求書の調整がまだ必要かもしれない。アウトソースサービスについては、一般の人々は、単に企業がオンラインに戻ったとの声明ではなく、商品、チャネル、パートナー別の復旧証拠を求めるべきである。

攻撃者はシステムだけでなく注目も悪用した

Travelex インシデントの搾取・接触の経済学は異常に可視的だった。攻撃者は単にシステムを暗号化しただけではない。彼らは公的圧力を利用した。伝えられるところによると、彼らはジャーナリストに連絡し、データを盗んだと主張し、身代金要求額を挙げ、開示を脅した。これによりインシデントは、私的な復旧問題から公的な交渉環境へと移行した。(Guardian 1月7日の報道CyberScoop の報道

この戦術は顧客接触の経済学を変える。攻撃者による公的な主張の一つ一つが、銀行への電話、Travelex へのメール、規制当局からの質問、メディアの取材依頼、従業員の不安、パートナーのエスカレーション、顧客の返金要求を増加させ得る。たとえ攻撃者が誇張していても、企業は答えなければならない。企業があまりにも少なく答えれば、信頼は損なわれる。フォレンジックが完了する前に多くを答えすぎれば、後で記録を訂正しなければならないかもしれない。犯罪者はその不確実性を悪用する。

二重恐喝ランサムウェアはこの圧力に依存している。データ窃取の主張は、データが検証される前であってもプライバシーと風評リスクを生み出す。顧客は、攻撃者がデータを持っていると主張していると聞き、直ちに安心を求める。パートナーは、自社の顧客に通知すべきかどうかを知りたがる。規制当局は、法的報告基準が満たされたかどうかを知りたがる。従業員は、自分の記録が関係しているかどうかを知りたがる。攻撃者は、これらのコンタクトチャネルすべてが高コスト化するよう強制することで利益を得る。

Travelex は、顧客データが侵害された証拠はないと述べたと報じられた。これは重要な保証であったが、独立したフォレンジックレポートを公開することと同じではない。説明責任のある基準は、「その時点では証拠がない」ことと「データエクスポージャーがないことが証明された」こととを区別することである。前者は調査中に真実であり、責任をもって述べられ得る。後者は、一般が完全には受け取らなかった証拠を必要とする。

ここで、顧客向けパートナーは自らの説明責任を負っていた。銀行やスーパーマーケットは、単にプロバイダーの不確実性を繰り返すだけで、自社の顧客のために何をすべきかを決めずに済ませることはできなかった。注文を停止するか、返金するか、顧客を支店に誘導するか、代替プロバイダーを使うか、フィッシングについて警告するか、ステータス更新を提供するかを選択しなければならなかった。パートナーはランサムウェア侵入に責任はないが、一般ユーザーにとってインシデントがどれほど高コストで混乱を招くものになるかを決定する顧客接触レイヤーを管理していた。

財務再編は継続性問題を可視化した

2020年8月、Travelex は財務債務を削減し、再編後のグループに新たな流動性を提供する債務再編の完了を発表した。発表は、新 Travelex の負債が大幅に削減され、既存の関係銀行との提携を継続すると述べた。また、特定の英国エンティティのプリパック管理売却と経営陣の変更についても説明した。(Travelex 再建発表

PwC の管理ページは、管理任命と再編の文脈を確認している。また、債権者管理資料、通知、進捗報告、債権証明、エンティティ名変更の長い尾も示している。(PwC 管理ページ

再編をサイバー起因の主張に矮小化すべきではない。COVID-19 は2020年の国際旅行を壊滅させ、旅行資金収入は旅行に依存する。債務構造とパンデミック状況が主要な推進要因だった。Travelex の発表は COVID-19 と持続可能な資本構造の必要性を強調した。ランサムウェアインシデントはむしろ、信頼を損ない、キャッシュを消費し、パートナーを混乱させ、事業がそのサービス役割に必要とされる以上の回復力を持たないことを示した、より早期のオペレーショナルショックとして理解されるべきである。

この区別は、企業の破綻後に説明責任が誇張され得るために重要である。サイバーインシデントの数ヶ月後に企業が管理手続きに入ると、サイバーインシデントが管理手続きを引き起こしたと言いたくなる。証拠はその単純な線を支持しない。より良い結論は、ランサムウェアが、レバレッジをかけた旅行依存の事業内の継続性の弱点を露呈・悪化させ、それが後にパンデミックによる需要崩壊に直面したというものである。

従業員と債権者にとって、この区別は学問的に感じられるかもしれない。彼らは雇用不安、エンティティ移管、クレームプロセス、事業の不確実性を経験した。PwC の資料はその後に続く正式な管理機構を示している。リスク分析にとって、教訓はより鋭い。デジタルレジリエンスと財務的レジリエンスは結びついている。企業はシステムを回復できても、ビジネス上のポジションを回復するのに必要な流動性、信頼、運転資金の猶予を欠くかもしれない。

規制当局とパートナーが学ぶべきだったこと

Travelex は英国のオペレーショナルレジリエンス実装の最も強いフェーズに先んじていたが、この出来事はそれらのルールのケーススタディのように読める。重要なビジネスサービスは、漠然とした意味での「外国為替」ではなかった。それは、複数の目に見えるブランドの顧客が、許容可能な時間内に旅行資金を注文、受取、受領、返金、管理できる能力であった。サードパーティ依存は専門家には隠されていなかったが、多くの顧客には隠されていた。

FCA のオペレーショナルレジリエンスフレームワークは、企業に対し、重要なビジネスサービスを特定し、影響許容度を設定し、深刻だが妥当な混乱の中でそれらの許容度内にとどまる能力をテストするよう求めている。(FCA オペレーショナルレジリエンス)Travelex を利用する銀行にとって、テストには、プロバイダーのランサムウェア、プロバイダーのデータ不確実性、プロバイダーのウェブサイト停止、手動返金処理、パートナーブランドのコミュニケーション、代替サプライヤーを含めるべきである。Travelex にとって、テストには、リモートアクセスセキュリティ管理の失敗、トランザクションシステムの損失、データ恐喝の主張、パートナーからの連絡負荷、段階的復旧を含めるべきである。

NIST のサイバーセキュリティフレームワークは、同様の教訓を分野横断的な構造で提供する。ガバナンス、特定、防御、検知、対応、復旧のすべてが Travelex の物語に現れる。ガバナンスは、取締役会と経営陣がエクスポージャーとアウトソース依存を理解していたかを問う。特定は、インターネットに面した資産とパートナーサービスがインベントリされていたかを問う。防御は、パッチ、多要素認証、セグメンテーションが導入されていたかを問う。検知は、ランサムウェアの前に悪用が発見されたかを問う。対応は、顧客とパートナーが明確な更新情報を受け取ったかを問う。復旧は、サービスが許容できない手作業のバックログやデータ不確実性なしに復帰したかを問う。(NIST サイバーセキュリティフレームワーク

Bank of England、PRA、FCA は後に、サードパーティリスクと重要なビジネスサービスを含む、金融セクター全体でのオペレーショナルレジリエンスを強調した。(Bank of England オペレーショナルレジリエンスFCA PS21/3)Travelex は、この文言がコアバンキングを超えて重要である理由を示している。専門プロバイダーは、一見周辺的なサービスを、多数の顧客向けブランドにわたって同時に機能不全に陥らせ得る。

SME や小規模取引先にとって、教訓はより厳しい。大手銀行は詳細な継続性条件を交渉するかもしれない。小規模な旅行代理店、地域パートナー、支店運営者は標準条件を受け入れ、実際の混乱を被るかもしれない。最も大きなパートナーだけを保護するリスクプログラムは、小規模ユーザーに弱い交渉力と乏しい可視性を残す。だからこそ、サービスの継続性の証拠は、秘密ブリーフィングの下にある最大手の顧客だけでなく、すべての影響を受けた取引先を支援できるよう、十分に公開されるべきである。

不明のままのこと

公的記録には大きなギャップが残る。Travelex は、初期アクセス経路、タイムライン、攻撃者の潜伏期間、影響を受けた資産、暗号化範囲、データアクセス結論、身代金交渉履歴、復旧シーケンスを確立する完全なフォレンジックレポートを公表しなかった。公開報道はインシデントを Sodinokibi/REvil および Pulse Secure VPN の脆弱性に結びつけたが、公的な一次証拠はインターネットエクスポージャーから企業停止までの完全な攻撃チェーンを提供していない。

データ記録も不完全である。伝えられるところによると、攻撃者はデータをコピーしたと主張した。Travelex は顧客データが侵害された証拠はないと述べたと報じられた。公的記録は、最終的な独立したデータインベントリ、評価された個人の数、レビューされたデータのカテゴリー、フォレンジック手法、または通知判断を提供していない。これは、データが確実に盗まれたことを意味するわけではない。公衆が保証を独立して検証できないことを意味する。

継続性の記録も不完全である。我々は、パートナーごとの停止タイムライン、返金総額、顧客クレーム数、手動取引数、調整エラー率、従業員の残業見積もり、支店レベルのサービスマップ、代替プロバイダー計画を持っていない。どのパートナーがテストされた代替手段を持っていて、どのパートナーが即興で対応したかはわからない。何人の顧客が手動で対応され、何件の注文がキャンセルされたかもわからない。

財務記録はより明確だが、なお限定的である。Travelex の8月の再建発表と PwC の資料は、再建と管理の経路を示している。それらはランサムウェアのコストを、パンデミックによる収入崩壊、債務負担、債権者交渉、経営判断から分離していない。管理手続きを単独でランサムウェアに帰する記事は誇張しすぎである。ランサムウェアを付随的として扱う記事は、継続性の記録を過小評価している。

説明責任はサービス約束に従う

Travelex のインシデントはパッチ適用の失敗として語るのが容易であり、パッチ適用は中心的である。もし公開された脆弱性の説明が正しければ、既知のリモートアクセス上の欠陥が、多数の目に見える顧客サービスを支えるプロバイダーへの侵入経路となった。しかし、説明責任はパッチで止まらなかった。それは、資産インベントリ、緊急変更管理、セグメンテーション、認証情報リセット、バックアップ復元、手動代替手段、パートナー通知、顧客サポート、不正管理、返金権限、取締役レベルでの財務的レジリエンスにまで及んだ。

犯罪者は恐喝と悪用を管理した。彼らはランサムウェア、データ窃取主張、メディア圧力を用いて遅延のコストを引き上げた。Travelex は、エクスポージャー環境、対応、復旧、可能にしたパートナーメッセージ、公表したまたはしなかった証拠を管理した。銀行と小売パートナーは、顧客への約束、返金、代替チャネル、ステータス更新を管理した。債権者は、事業のどの部分が前進し、どの部分が古い構造にとどまるかを決定する再建交渉を管理した。規制当局は、これらの依存を無視しにくくするその後の基準を管理した。

このインシデントの永続的な教訓は、アウトソースされたサービスの回復力は、プロバイダーの最終的な復旧声明からではなく、顧客の最初の失敗した取引から測定されなければならないということである。旅行資金を受け取れない銀行顧客は、プロバイダーがそれを内部のサイバーインシデントと呼ぶかどうかを気にしない。紙の請求書を使っている支店従業員は、ランサムウェアグループの名前が正しく綴られているかどうかを気にしない。債権者は、停止が IT に分類されるか運用に分類されるかを気にしない。各アクターは、自分たちが依存していたサービス約束を通じて結果を感じる。

したがって、Travelex は、ランサムウェアが依存の経済学を明らかにした事例として、説明責任の記録に属する。攻撃者はシステムと注目を悪用した。プロバイダーは復旧とコミュニケーションに苦慮した。パートナーはホワイトラベルサプライヤーのオペレーショナルな重みを発見した。従業員と顧客は手作業と不確実性を背負った。後の再編は、デジタル信頼、流動性、継続性が別々のテーマではないことを示した。通貨サービスにおいて、サイバー停止は顧客対応危機、パートナーガバナンスのテスト、そして財務レジリエンスイベントへと同時になり得る。

タイポグラフィ

タイポグラフィは、文字言語を読みやすく、判読しやすく、視覚的に魅力的にするために文字を配置する技術である。書体、ポイントサイズ、行長、行間、文字間隔の選択が含まれる。

  • タイポグラフィは、15世紀のヨハネス・グーテンベルクによる活版印刷の発明に起源を持つ。
  • 主要な要素には、フォントの選択、カーニング、トラッキング、リーディングが含まれる。
  • 優れたタイポグラフィは可読性を高め、デザインにおいて雰囲気やトーンを伝える。