2024年11月、STIIIZYはエベレスト(Everest)と名付けられたサイバー犯罪組織によるデータ侵害を受け、約38万人の顧客の個人情報が公開される事件が発生した。この侵害は複数の場所に影響を及ぼし、同社のポイント・オブ・セール(POS)処理業者の1つにおける妥協点が原因で追跡された。この攻撃によって、大麻販売店によって必要とされる追加データに加えて、被害を受けた情報(氏名、住所、生年月日、運転免許証番号、パスポート番号、政府発行IDの写真、署名、医療大麻カードの詳細、取引履歴)は、小売業者のデータ侵害で起こったものとしては必ずしもユニークなものとは言えなかった。とはいえ、大麻業界内でのこの事件は、STIIIZYの特定のデジタル基盤だけでなく、大麻業界が直面しているより広範なリスクも浮き彫りにしている。
規制負担、分散型金融基盤、主要な銀行サービスへの限られたアクセスの組み合わせにより、急速に拡大する大麻業界は、サイバー攻撃に対して特に脆弱だ。大麻販売店が直面している主な課題の一つは、金融取引の保護である。人気のある手法の一つが「無現金ATM」の利用で、これによって大麻の購入がATMからの現金引き出しとして偽装される。この回避策によって、大麻事業者は金融制度の制約の中で事業を運営できるようになったが、一方でこれによって規制当局や金融機関の監視が強化された。
この監視と関心が、大麻に関連する金融取引のリスクを引き受けることを選択したベンダーを制限している。リスクを引き受けたベンダーは、金融取引を処理する他のベンダーと比べて、確立された、試されたサイバーセキュリティの保護を備えていないかもしれない。金融取引処理が既に大麻小売業の運営のうち、脆弱な部分となっていたことを考慮すると、STIIIZYのようなPOSプロバイダーによる侵害によって、顧客データだけでなく業界が金融取引のリスクを管理する方法についての構造上の脆弱性が浮き彫りにされ、将来的にはそのような取引の処理をより困難にする可能性がある。
大麻小売業の第三者ベンダーは金融取引に限らず、多くの役割を果たしている。大麻小売業が様々な管轄区域で直面している多くの複雑で分散した規制により、第三者ベンダーの役割は、競争力のある価格で必要な要件を満たすことが不可欠だ。第三者ベンダーは、例えば、コンプライアンストラッキング、シード・トゥ・セール(販売の種から最終製品までの流れ)在庫管理、顧客データベースの外部プラットフォームを運営しており、これによって潜在的な障害が生じる可能性がある。このベンダーに関連する問題は新しいものではない。たとえば、大麻事業向けのコンプライアンスソフトウェアを提供するMJ Freeway社は、米国のディスペンサリー(薬局)の運営に支障をきたす、繰り返し侵害を体験している。多くの州が規制の遵守を求めているソフトウェアが、攻撃者がシステムに侵入し、そのソフトウェアを使用できなくすることで、大麻ビジネスにとって責任を負う立場になった。このことは、第三者プロバイダーの単一の侵害が業界全体に及ぶ形で起こる状況を示している。
STIIIZYの侵害は、大麻セクターにおける盗まれた個人情報についての懸念を引き上げている。大麻小売業界のデータ侵害が金融詐欺やID盗難といったものとは異なり、追加のリスクを抱えているからだ。大麻の使用に関する社会的スティグマや法的グレーゾーンが関わっており、そのためだ。米国の一部の州では、大麻の購入行為は合法性が疑われるものとなっている。そのため、消費者は自身の購入履歴が露呈された場合に、自分自身に何らかの責任が及びそうであれば恐れるであろう。さらに、機密情報(たとえば、医療大麻カードの詳細)を露呈することで発生する経済的被害を超える、プライバシーの侵害に直面することになる、特定の状態において大麻を利用している人々にとっては。
STIIIZY事件からの主な収穫は、大麻業界全体でより強力なサイバーセキュリティ対策が不可欠だということである。企業は第三者ベンダーのセキュリティ慣行を評価し、データ保護に関する業界標準に準拠するよう確認しなければならない。多くの大麻小売業者がコンプライアンスに関連したテクノロジーへの投資を重視してきたが、その一方でサイバーセキュリティは、業界の複雑な法的環境に対処することに主眼を置いてきたため、これまで後回しにされてきたものである。しかしこうしたデータ侵害が増加するにつれ、企業は、信頼を維持し、顧客を保護するために、これらのセキュリティリスクに積極的に取り組む必要がある。
セキュリティを向上させるために、大麻ビジネスは、移動中と静止中の双方で顧客の機密情報を優先して暗号化する必要がある。暗号化により、攻撃者がデータにアクセスしても容易に利用することができなくなる。内部システムと第三者の統合の両方における定期的なセキュリティ監査は、それらが悪用される前に脆弱性を特定するのに役立つ。従業員のトレーニングも不可欠である。多くの侵害は人為的ミスによって引き起こされており、たとえばフィッシング詐欺に引っ掛かったり、弱いパスワードを使用したりすることによって、そのようなミスが起きているのだ。企業は、機密情報にアクセスできる人数を制限するために厳しいアクセス制御を実装し、また、すべてのログインの試みに対して多要素認証を要求しなければならない。
さらに、大麻関連のビジネスは、セキュリティ侵害が発生した際にそれに迅速に対応することができるように、事例対応プランを開発・維持する必要がある。攻撃を検出し、リアルタイムで対処する能力は、侵害によって引き起こされた被害を大幅に削減できる。STIIIZYの場合、1か月間もの間、侵害が発覚することなく存続していたことが明らかになり、監視と脅威検出能力の向上が求められていることを物語っている。
政府機関や規制当局も、大麻業界のサイバーセキュリティ基準を向上させるための役割を果たす必要がある。多くの州では、在庫追跡とコンプライアンスに関する厳格な報告要件を義務付けているが、データセキュリティについては同様の要件を導入していない。大麻セクターのユニークな課題に合わせたサイバーセキュリティガイドラインを作成し、企業に明確な期待を提示し、将来の侵害リスクを軽減するための手助けをすることができる。一部の州はこの方向で一歩を踏み出してはいるものの、執行と標準化の差異が依然として存在している。
消費者もまた、大麻小売店に個人情報を提供することに伴うリスクを認識しておくべきだ。ほとんどのビジネスがセキュリティを真剣に受け止めているものの、データ侵害と進化し続けるサイバーセキュリティ対策の必要性が、常に残ることに変わりはない。消費者は情報の共有に慎重を期すべきであり、もし自身が侵害の通知を受けた場合にはクレジットモニタリングサービスを利用するべきだ。また、侵害後に発生する可能性のあるフィッシング詐欺に注意を払うことも大切である。なぜなら、サイバー犯罪者はしばしば、露呈したデータを利用して、さらなる詐欺活動を行うためだからだ。
STIIIZYのデータ侵害は、大麻業界に対するサイバーセキュリティ対策の強化、ベンダーの監督向上、デジタル脅威に対する認識の向上が必要であるという警鐘となっている。大麻業界が成長を続けるにつれて、それを標的にしたサイバー攻撃の洗練度も増していくだろう。企業は、サイバーセキュリティインフラの投資、従業員のトレーニング、および第三者ベンダーが最高のセキュリティ基準を遵守していることを確認することで、これらの脅威に先を越していかなければならない。適切な予防措置を講じれば、大麻業界は顧客の個人情報を保護しながら、引き続き繁栄することができるだろう。
クラーク・ヒル法律事務所のサイバーセキュリティ弁護士、ポール・シュメルツァー氏とジェイソン・シュヴェント氏。
この記事は一般情報を目的としており、法的助言または法的サービスの提供の勧誘を意図したものではありません。この記事の情報は、弁護士とクライアントとの関係を築くことを意図するものではなく、また、それによって築かれることもありません。本情報に基づいて読者が何らかの行動を取ることは、専門の法的助言を求めることなくはなされるべきではありません。ここで表明されている見解と意見は、個々の著者のものであり、必ずしもクラーク・ヒル法律事務所の見解や意見を示すものではありません。当法律事務所のウェブサイト上の投稿が完全で正確で最新であるよう努めてはおりますが、その完全性、正確性、および最新性についての責任を負うものではありません。
