サイバー攻撃で1億ドル損失しても、MGM Resortsが"平気"なワケ：Cybersecurity Dive

統合型リゾート運営会社MGM Resortsは2023年9月に発生したサイバー攻撃の影響について公表した。客室稼働率の低下や特定の顧客データが盗まれたことが分かっている。

[David Jones，Cybersecurity Dive]

　統合型リゾート運営会社MGM Resortsが2023年10月5日（現地時間、以下同）、米国証券取引委員会（以下、SEC）に提出した書類によると、すでに公表されている同年9月のサイバー攻撃は主にラスベガス地域における事業に影響を及ぼし、第3四半期の業績に約1億ドルの影響を与えるようだ（注1）（注2）。

　同社によると、テクノロジーコンサルタントや弁護士、その他の第三者のアドバイザーに約1000万ドルの費用がかかるという。

巨大リゾートを狙ったサイバー攻撃　侵害の影響は？

　MGM Resortsの社長兼CEOであるビル・ホーンバックル氏は、顧客に宛てた2023年10月5日付のオープンレターの中で次のように述べている（注3）。

　「一部の施設で混乱が発生したが、影響を受けた施設の業務は正常な状態に戻り、システムの大部分は復旧した」

　ホーンバックル氏は顧客に謝罪するとともに、予約やカジノゲーム、デジタルキーなどのホテルサービスの中断によって過剰な負担が発生した従業員に感謝の意を示した。

　SECに提出された書類によると、サイバー攻撃によって企業のWebサイトと予約に使用されるモバイルアプリが停止し、9月のMGM Resortsの客室稼働率が2022年の93％から2023年には88％に低下した。

　同社によると、第4四半期は好調に推移している。特に2023年11月には「Formula1」が開催されるため（注4）、記録的な売り上げが期待されているとのことだ。同年10月の客室稼働率は前年比1ポイント減の93％に達する。

　また、具体的な特定こそなされていないが、サイバー攻撃者が2019年3月以前にMGMと取引した顧客の機密データを入手したことを同社は確認している。

　データには氏名や住所、電話番号、電子メールアドレス、生年月日、運転免許証番号、場合によっては社会保障番号やパスポート番号などが含まれていた。

　「パスワードやクレジットカード番号、銀行口座情報は漏えいしていない。その他の個人データが詐欺に使われたという情報もない」と同社は回答している。

　MGM Resortsは「このようなサイバー攻撃の再発を防ぐため、第三者のIT専門家と協力してシステムの大幅なアップグレードに取り組んでいる」と述べた。

　サイバー攻撃者は同社の「Okta」環境にアクセスしたと主張している（注5）。この環境は、複数のソーシャルエンジニアリング攻撃の標的となっている。Oktaの関係者はMGM Resortsの環境の侵害を否定したが、同社と協力して攻撃からの回復に取り組んでいる。

　セキュリティ研究者はこのハッキングを、「AlphV/BlackCat」と何らかの協力関係にある「Scattered Spider」と呼ばれる脅威グループによるソーシャルエンジニアリング攻撃だと認定した（注6）。

　別の攻撃がCaesars Entertainmentに対して実行され（注7）、そのカジノ運営企業の顧客の特典データも侵害されている。

サイバー攻撃を受けるも、保険による補償で問題なし？

　MGM Resortsはこの攻撃による財務的影響をカバーするのに十分な保険の補償があると考えているが、財務的影響の範囲はまだ完全に分かっていない。

　JMP Securitiesのアナリストであるジョーダン・ベンダー氏は2023年9月19日付のリサーチノートで「MGM Resortsは事業の中断やランサムウェアに関連するコストをカバーするものとして、約2億ドルの補償を受けられる保険に加入している」とコメントしている。

　ベンダー氏は「この攻撃は事業運営に支障をきたし、MGM Resortsは1日当たり数百万ドルの損害を被った。しかし同社の2023年の現金収入として47億ドルが見込まれていたことを考えると、財務的な影響は大きなものではない」と述べた。

　セキュリティの研究者は、MGM Resortsが身代金の支払いを拒否した考えており、これが混乱が数週間にわたって続いた原因だとしている。

　以前に報告された通り、MGM Resortsはネバダ州の連邦地方裁判所において、過失と不当利得を主張する複数の顧客からの訴訟に直面している（注8）。

　情報への不正なアクセスがあった場合、顧客への直接の通知が行われ、信用履歴を監視するサービスが無料で提供される。

　MGM Resortsは2023年10月5日に、メイン州の司法長官に対して消費者の情報侵害に関する通知を提出した（注9）。司法長官に提出されたデータによると、同年9月8〜12日の間に最初の侵害が発見された。

　同通知によると、MGM Resortsは2023年9月29日の段階で、サイバー攻撃者が同年9月11日に同社の顧客のデータを入手したと判断している。影響を受けた顧客には電子メールによる通知が行われた。

編集部注：　この記事は、メイン州の司法長官に提出された情報侵害に関する通知に基づいて更新された。

（注1）MGM Resorts takes systems offline as it investigates cyberattack（Cybersecurity Dive）
（注2）MGM Resorts International（SEC）
（注3）To Our Valued Customers:（MGM）
（注4）Las Vegas hotels gear up for venue openings, sporting events（Hotel Dive）
（注5）Threat actors claim to have compromised MGM Resorts’ Okta environment（Cybersecurity Dive）
（注6）Threat actors claim to have compromised MGM Resorts’ Okta environment（Cybersecurity Dive）
（注7）Caesars Entertainment faces class action lawsuits following rewards database hack（Cybersecurity Dive）
（注8）MGM Resorts warns customers of fraud as it faces class action lawsuits（Cybersecurity Dive）
（注9）Data Breach Notifications（Maine Attorney General）

原文へのリンク