2024年11月、STIIIZYは約38万人の顧客の個人情報が流出するデータ侵害を経験した。この侵害は、Everestと名乗るサイバー犯罪グループにより行われ、複数の場所に影響を及ぼし、会社のPOS(販売時点情報)処理ベンダーの1つによる侵害であると特定された。この攻撃とその影響を受けたデータ(名前、住所、生年月日、運転免許証番号、パスポート番号、写真、政府発行IDの署名、医療大麻カードの詳細、取引履歴)は、小売業のデータ侵害としてはユニークなものではなかった。しかし、大麻産業において、この事案はSTIIIZYの特定のデジタルインフラ内にある脆弱性だけでなく、大麻産業全般が直面するリスクにも光を当てるものだった。
規制上の負担、断片化した財務インフラ、一般的な銀行サービスへの限られたアクセスの組み合わせのため、急速に拡大する大麻産業はサイバー攻撃のリスクに特に脆弱だ。大麻小売業者が直面する主要な課題の1つは、財務取引の確保だ。大麻取引をATM引き出しのように見せかける「キャッシュレスATM」の使用が一般的である。この回避策により、大麻ビジネスは金融システムの制約の中で稼働できてはいるものの、規制当局と金融機関の監視の目が厳しくなっている。
この監視と関心の点から、大麻関連の金融取引を処理するリスクを引き受けるベンダーは限られてしまっている。リスクを引き受けるところがあっても、他の金融取引処理ベンダーの、発展途上のサイバーセキュリティ保護が整っているとは限らない。すでに大麻小売業の取引処理が脆弱な部分である中で、STIIIZYの場合のようにPOSプロバイダーが関与する侵害は、単なる顧客データの流出にとどまらず、大麻産業が金融取引を処理するシステム全体の脆弱性を露呈し、今後それらの取引処理を行うことをより難しくする可能性がある。
大麻小売業の第三者ベンダーは、金融取引に限らず、様々な作業を行っている。多くの複雑で断片化した規制に直面するため、競争力のある価格ですべての必要条件を満たすために、第三者ベンダーが不可欠である。例えば、MJ Freewayは、アメリカ全土のディスペンサリーの営業活動を妨げるデータ侵害を繰り返して経験した、大麻ビジネス向けのコンプライアンスソフトウェアの提供者だ。多くの州で規制の遵守が求められるこのソフトウェアは、システムに侵入してその使用が不可能になったことで、大麻小売業者が経験した多くの問題の中の1つとなった。この事例で、第三者ベンダーの1つの侵害が全産業全体に影響を及ぼすことがどういうことなのかが明らかになった。
さらに、STIIIZYの侵害は、大麻部門における盗まれた個人情報に関する懸念を引き上げている。金融詐欺やID盗用などのデータ侵害が主に金融産業で発生するのに対し、大麻小売業のデータ侵害は、大麻使用にまつわる社会的な汚名と法的な曖昧さが原因で、追加の影響を与える可能性がある。アメリカの一部の州では、大麻の購入は法的に疑わしい行為として扱われており、消費者は購入履歴が流出した場合には制裁を恐れるかもしれない。さらに、特定の病気の治療に医療用大麻を使用している場合、それに関する詳細情報が流出した場合、それが金融的被害を超えてプライバシー侵害を引き起こす可能性もある。STIIIZYの侵害の場合、医療大麻カードの詳細などの情報が含まれていたことを考えると、このリスクが特に懸念すべきものである。
STIIIZYの事例からの主要な教訓は、大麻産業全体でより強力なサイバーセキュリティ対策が必要であることだろう。企業は、第三者ベンダーのセキュリティ実践を評価し、データ保護のための業界基準を遵守していることを確認しなければならない。多くの大麻小売業者はコンプライアンストラッキング、種から販売までの在庫管理、および顧客データベースのための技術に多額の投資をしているが、サイバーセキュリティはその一部ではない。これは、ビジネスの中心が業界の複雑な法的状況に対応することになっているためだ。しかし、データ侵害が頻繁になるにつれて、企業は積極的に顧客を保護し、信頼を維持するためにこれらのセキュリティリスクに対処しなければならない。
さらに、大麻ビジネスは、データが保存されている場合と転送されている場合の両方で、重要な顧客情報を優先的に暗号化する必要がある。暗号化により、攻撃者がデータにアクセスしてもそれを簡単に利用することができなくなる。内部システムと第三者の統合の両方を定期的にセキュリティ監査を行い、悪用される前に脆弱性を特定することが重要だ。従業員のトレーニングも欠かせない。多くの侵害はフィッシング詐欺や弱いパスワードの使用などによって発生している。企業は、機密情報にアクセスできる個人の数を制限し、すべてのログイン試行に対して多要素認証を必要とする厳格なアクセス制御を実施すべきだ。
さらに、大麻ビジネスは、セキュリティ侵害が発生したときに迅速に対処できるようにするインシデント対応計画を策定し、運用する必要がある。リアルタイムで攻撃を検出し、それに対して対処できる能力は、侵害による損害を大幅に減らすことができる。STIIIZYの場合、侵害が発覚するまでに1か月もかかってしまったことが、監視と脅威検出能力の向上の必要性を浮き彫りにするものだ。
行政機関や規制当局も、大麻産業のサイバーセキュリティ基準を向上させるためには一定の役割を果たす必要がある。多くの州では、在庫追跡とコンプライアンスに関する厳格な報告要件を義務付けているが、データセキュリティに関しては同様の要件を実施していない。大麻部門に特有の課題に合わせたサイバーセキュリティガイドラインの作成には、企業にとってもより明確な期待感を提供し、未来の侵害のリスクを軽減するのに役立つだろう。一部の州では、この方向で一定の動きを始めているが、実施と標準化にはまだ大きな隔たりが残っている。
顧客も、大麻販売業者に個人情報を提供する際のリスクを認識しておくべきだ。多くのビジネスがセキュリティを真剣に考えているとは言え、データ侵害とデータ保護のためのサイバーセキュリティ技術の必要性は変わらない。消費者は情報を共有する際の慎重さを保ち、侵害の通知を受けた場合にはクレジットモニタリングサービスを活用するべきだ。さらに、侵害の後に発生するフィッシング詐欺にも注意する必要がある。なぜなら、しばしばサイバー犯罪者たちは、これらのデータを利用してさらに詐欺行為を行うことがあるからだ。
STIIIZYのデータ侵害は、大麻産業にとって強力なサイバーセキュリティ対策の必要性、ベンダーの厳格な監視、およびデジタル脅威への高い認識が強調される事件である。大麻業界が成長し続ける中で、それを標的にしたより高度なサイバー攻撃も増えていくだろう。ビジネスは、サイバーセキュリティインフラに投資し、従業員にトレーニングを行い、第三者ベンダーが最高水準のセキュリティ基準を満たすようにすることで、これらの脅威に先んじる必要がある。適切な予防措置を講じることで、大麻産業は顧客の個人情報を守る一方で、引き続き繁栄し続けることができる。
クラーク・ヒル(Clark Hill, PLC)のサイバーセキュリティ弁護士、ポール・シュメルツァー氏およびジェイソン・シュヴェント氏。
この記事は一般的な情報を提供することを目的としており、法的助言または法的サービスの提供の勧誘を意図したものではありません。この記事の情報は、弁護士とクライアントとの関係を作成する意図で提供されたものではありませんし、それを受領したことによって、弁護士とクライアントとの関係を構築するものでもありません。読者は、専門の法的助言を求めることなく、この情報に基づいて行動すべきではありません。ここで表明されている見解や意見は、個々の著者個人のものであり、Clark Hill PLCの見解や意見を反映したものではありません。当社のウェブサイトの投稿が完全で正確で最新のものであるように努めてはいますが、その完全性、正確性、またはタイムリネスについては責任を負いかねます。
