タグ: サイバー攻撃

LDH JAPANは12/8、同社が運営するオンラインショップ「EXILE TRIBE STATION ONLINE SHOP」がサイバー攻撃を受け、同サイトでクレジットカード情報の登録を行った4万4,663名のカード情報について流出が確認されたことを公表しました。

流出の概要

個人情報流出の可能性があるのは、8/18～10/15の期間中に同SHOPにおいて、新規にクレジットカード情報を会員登録した顧客、又は既に会員登録により登録済みのクレジットカード番号を変更した顧客、計44,663名のクレジットカード情報だそうです。

流出した情報は、クレジットカード名義人、クレジットカード番号、有効期限、セキュリティコードとしています。サイバー攻撃を受けて個人情報が流出する事件は増加していますが、多くの場合クレジットカード情報は別会社で管理されており、流出を免れていました。

今回のケースはモロにクレジットカード情報が流出。おまけにセキュリティコードまで。さらに、11/27時点で、少なくとも209名の顧客のカードが不正利用をされた可能性があるとクレジットカード会社から報告を受けているとのこと。

既にそこから2週間が経過しており、不正利用の被害は拡大していると思われます。これは相当ヤバい事故ですね。実際に不正利用が確認されているだけに、4万名を超える情報流出は、「可能性」ではなく、確実に流出していそうです。

「EXILE TRIBE STATION ONLINE SHOP」といいますから、エグザイルのチケットやらグッズを販売するサイトなんだと思われます。今現在は情報漏えいに関するQ&Aなど、しっかりした情報提供がされていますが、いかんせん情報開示が遅すぎでした。

先週でしたか、日本経済新聞の1面トップに、「機密情報盗み身代金要求　暴露型ウイルス、1000社被害　1～10月　企業活動停滞も」という記事が掲載されました。暴露型ウイルスという定義はちょっとどうなんだろうとは思いますが、、、。とにかく被害メチャ拡大してます。

新型のランサムウエア

ランサムウエアといえば、被害企業等のパソコンやサーバなどのデータを暗号化し、データの復旧と引き換えに身代金を要求するものでした。最近増えてきたのがパソコンやサーバのデータを盗み、その後に元のデータを暗号化するというタイプです。こういうタイプのランサムウエアを暴露型と呼んでるようです。

直近で被害を受けた企業として、当ブログでも取り上げたカプコンが紹介されてます。米国のクラウドストライクという企業が実施した調査結果も伝えています。過去一年以内にランサムウェアの攻撃を受けた日本企業の32％が身代金を支払っていたそうです。平均支払額は1億2300万円で、42％が攻撃者との交渉を試みたとのこと。

サイバー対策費用など

日経ではここまでしか書いてなかったんですが、実は続きがあって、日本における過去3年間のDXに対する投資額は平均3億8400万円（366万ドル）。世界平均の486万ドルを下回っているそうです。

また、サイバーセキュリティへの平均投資額は4850万円（46万ドル）で、こちらも世界平均の61万ドルを大きく下回っています。DXへの投資額、セキュリティへの投資額、ともに世界平均の3/4というのは残念です。

さらに、コロナ禍でセキュリティに最新ツールを導入した日本企業の割合は世界平均よりも9ポイント低い39％にとどまり、調査対象国の中で最下位だったそうです。

※　ここでいう世界平均とは、調査対象とした米国をはじめ、イギリス、フランス等ヨーロッパ6カ国、中東、インド、シンガポール、オーストラリア、日本です。

東建コーポレーションは11/17、同社とグループ会社のネットワークが第三者による不正アクセスを受け、グループが保有する個人情報が外部に流出した可能性があることを公表しました。流出の可能性を確認したのは10/20としていますから、1ヶ月もかかっています。

最大657,096件

東建グループ全体で保有している個人情報（法人情報含む）を保管していたサーバーが狙われたということで、最大で65万件の情報が外部流出した可能性があるとのこと。東建コーポレーションはじめ、子会社のナスラック、柔道チャンネル、ホテル、ゴルフ場、ホームメイトなどなど。

サイトやらメルマガなどで登録された個人情報がダダ洩れです。同社ホームページでは各種サービス名と当該サービスにおいて、顧客のどのような個人情報が流出したのかが分かるようになっています。

が、しかし、このホームページに行かなければ、当然ですが何も分かりません。TDnetへの開示もしていません。おまけにこのニュースを伝えた日本経済新聞の11/18付け朝刊は、子会社のナスラックのサイト利用者の情報が流出という誤報に近い状況でした。

不正アクセスを受け、情報流出の可能性が判明したら、出来るだけ早く顧客にそれを伝えるべきです。自社のホームページでお知らせを掲載、、、だけではどうかと思います。

三菱電機も

三菱電機でも、同社が利用するクラウドサーバーがサイバー攻撃を受け、同社と取引のある国内企業や個人事業主の金融口座情報が流出した可能性があることを公表しています。最大で8,635件の金融機関情報が流出した可能性があるとのこと。同社もやはり開示はしていません。

そういえば、今年1月にも不正アクセス被害受けてましたよね、三菱電機。あの時も初報では大したことなかったけど、1か月後、実は防衛関係の情報が流出、、、みたいな展開でした。

Peatix Incは11/17、同社が提供するイベント管理アプリサービスPeatix（ピーティックス）にサイバー攻撃が発生し、最大で677万件の個人情報が外部流出した可能性があると公表しました。677万件は驚きです。

Peatix（ピーティックス）

ピーティックスはオンラインのイベント運営やチケット販売を手掛ける会社だそうです。自治体などもこのサービスを使っているケースがあるようで、宇都宮市と宮崎市、鹿児島県はそれぞれ、個人情報が流出した恐れがあると公表しました。

宇都宮市や宮崎市では、新型コロナウイルスで低迷する飲食店を支援するプレミアム付き商品券を、オンラインで購入した市民の氏名とメールアドレスが流出したようです。

事故の概要

10/16～10/17にかけて、外部からの不正アクセスが行われ、顧客の個人情報が流出した可能性があるとのこと。このことを認識したのが11/9だそうです。

流出した情報は、氏名やメールアドレス、暗号化されたパスワードなどが含まれているものの、クレジットカード情報やイベント参加情報などは流出していないとのこと。

既に情報が・・・

その後の情報で、流出したとみられる約200人分の情報がインターネット上で閲覧できる状態になっていることが18日、分かったようです。攻撃者が盗んだ情報を販売する目的で掲載したということですね。

掲載されていたのは「個人データベース販売」と題された英語のサイトで「ピーティックス」、「大部分が日本人」などの説明があり、「サンプル」の欄には約200人分の氏名とメールアドレスが記載されていたと。サイバー攻撃、マジでヤバい状況になってきました。

こうして売られたリストを使用し、リスト型アカウントハッキングが仕掛けられ、パスワードの使い回しや安易なパスワードを使用している人が、また大勢被害にあうことになります。マジでヤバいです。

11/4に不正アクセスによるシステム障害発生を公表していたカプコン。11/16には、現時点で判明している被害の状況について公表しています。巷で言われていたように、やはりランサムウェアによる被害を受けていました。最大36.4万件の個人情報が流出した可能性もあるとのこと。

Ragnar Locker

このランサムウェアは「Ragnar Locker」と呼ばれており、この攻撃を仕掛けたグループ名でもあるようです。同グループは11/9に犯行声明を公開しています。Ragnar Lockerの実行ファイルのデジタル署名はロシアの企業になっているなどという話も。

企業名を名指しで脅迫するメッセージを表示するようにできており、あらかじめカプコンだけを標的にして準備されたランサムウェアということです。サーバを破壊し、データを暗号化すると同時に、1テラバイトのデータを犯行グループへ送信しています。さらにはアクセスログの抹消まで。

こうして抜き取られたデータのうち、9件の個人情報と企業情報の一部が公開サイトに晒されており、これ以外のデータ（個人情報等）を公開されたくなかったら、仮想通貨で身代金を払えという要求をしてきています。

このあとの展開は

犯行声明において、1テラバイトの情報を抜いたと言っているので、おそらく冒頭の個人情報36.4万件は大きく外れてないんでしょう。身代金を要求されているカプコンとしても、ここまでよく情報を開示してきたと思います。

日本、米国の警察当局とも連携し、大手セキュリティベンダにも協力を仰いで全容解明に取り組んでいるようです。これだけ大きな被害が出たうえ、ここまで情報が開示されるのは珍しいケース。もちろんこの後は捜査の関係で情報が一旦出て来なくなるでしょうが。。。

最新の情報では、身代金は11億円といわれており、カプコンはその要求に応じていないとのことです。