2021年も振り返ると、多くのデータ侵害が報告されました。Identity Theft Resource Center(ITCR)の発表では、2021年の1月~9月に報告されたインシデントの件数は、すでに2020年通年で確認されたインシデントの総数を超えています。
それらの事例の中には、いくつかの大きなものがありました。特に、米国の一部でガス不足を引き起こしたコロニアルパイプラインに対するランサムウェア攻撃、7億人のユーザーに影響を与えたLinkedInの攻撃侵害、マイクロソフトに対する国家の支援が疑われる攻撃などが記憶に新しい大きな事例です。
本ブログでは、昨年に話題となった20のデータ侵害の事例について振り返ってみます。以下の20件は、包括的なリストではありません。特に、2021年の10月~12月の報告は対象から外してあり、また、一部の事例はまだ特定されていない可能性があることをご了承ください。
① Socialarks社
影響を受けたレコード:2億1,400万レコード
中国のソーシャルメディア管理会社であるSocialarks社では、Facebook、Instagram、LinkedInなどのソーシャルメディアプラットフォームからの400GBを超える個人データの漏洩につながる大量のデータ漏洩が起きました。漏洩した情報の中には、有名人やソーシャルメディアに影響力がある人物の情報も含まれていました。
② Accellion社
影響を受けた組織: 100社以上
Accellion社は、攻撃者がファイル転送アプライアンスサービスを介してクライアントを攻撃できる脆弱性を公表/パッチ公開し、その1か月後には修正プログラムをリリースしました。しかし、この“1か月”という期間は攻撃者が攻撃を仕掛けるには十分な期間でした。ランサムウェア攻撃グループ・Clopや金融犯罪グループ・FIN11といった攻撃者グループは、修正プログラムがリリースされる前、そして、リリース後でも修正プログラムをすぐに適用しなかった一部の組織にターゲットを絞り、脆弱性を利用した攻撃を実施しました。これまでに影響を受けた組織の数を正確に知ることは困難ですが、把握できる範囲でも、17の組織が侵害されたと発表されました。また、Guidehouse Inc. といったマネージドサービスプロバイダーも攻撃被害にあいました。その後も、攻撃被害を名乗り出る組織が増え、その中には、Shell、Kroger、Morgan Stanley、その他の有力企業や政府機関も含まれています。
③ ShinyHunters:Wave 3
漏洩したレコード: 1億2,940万レコード
ShinyHuntersと名乗るサイバー犯罪者グループが、少なくとも10社から窃取したデータをハッカーフォーラムに投稿しました。最初に投稿されたのは、ウェブベースの無料写真編集アプリケーションPixlr、出会い系サイトMeetMindful、TシャツサイトTeeSpring、その他少なくとも7つの組織です。それら情報には、名前、電子メールアドレス、ハッシュ化されたパスワード、生年月日、財務情報などが含まれていました。
④ Astoria Company社
影響を受けたレコード: 3,000万レコード
この情報漏洩がShinyHuntersと関係があるのか、偶然の一致かは不明ですが、リード創出ビジネスを営むAstoria Company社の顧客1千万人の社会保障番号、銀行口座、運転免許証番号などが漏洩されるという事案が発生しています。さらに、1,000万人以上のAstoria Company社の顧客のクレジット履歴、医療データ、住宅、車両情報など、他の分野の情報も流出しました。悪意のある内部関係者によって行われたと疑われるこのデータ流出では、機密性の高いユーザー情報が暗号化されずに電子メールで転送されたことを示す電子メールトランザクションログも含まれていました。
⑤ Microsoft社
影響を受けたサーバー: 250,000台
Microsoft社は、中国の攻撃者集団「Hafnium」による国家ぐるみのサイバー攻撃の標的になったことを発表しました。この攻撃は、Microsoft Exchangeを標的としたもので、攻撃者は約3カ月もの間、数百万人の電子メールの受信トレイにアクセスしていました。この攻撃は、政府機関を含む米国内の3万以上の組織、英国内の7,000のサーバーのほか、欧州銀行監督機構、ノルウェー国会、チリの金融市場委員会(CMF)にも影響を及ぼしました。
⑥ Twitch社
漏洩したレコード数: 50億レコード
この攻撃は、サーバーを設定する担当者の人為的なミスに犯罪者が目をつけたことから始まり、半年間で、およそ50億件の個人情報が流出しました。
⑦ ParkMobile社
影響を受けたレコード数:2,100万レコード
モバイル駐車場アプリを提供するParkMobile社は、同社が使用しているサードパーティソフトウェアの脆弱性により、情報漏洩が発生したと発表しました。ナンバープレート、メールアドレス、電話番号、車のニックネームなど、2,100万人のユーザーの記録がアクセスされ、ロシア語の犯罪フォーラムで共有されました。
⑧ IDC Games社
影響を受けたレコードの数: 400万レコード
IDC Games社のデータベースがダークウェブフォーラムで共有されました。流出したデータには、ユーザー名、電子メールアドレス、ハッシュ化されたパスワードを含む400万件のレコードが含まれていました。
⑨ ClearVoice社
影響を受けたレコードの数: 1,500万
市場調査調査会社のClearVoice社は、 過去に調査に参加した参加者のプロフィール情報を含むデータベースが、許可を受けていないユーザーにより投稿され、その情報を購入できるようになっていたことを確認しました。投稿されたデータには、名前、物理アドレスとIPアドレス、性別、生年月日、プレーンテキストのパスワードを含む1700万行を超えるデータで、そこには1,500万の電子メールアドレスが含まれていました。
⑩ Reverb社
影響を受けた人数: 560万人
楽器のオンラインマーケットプレイス「Reverb」のデータベースがダークウェブ上で発見されました。このデータベースには、名前、メールアカウント、地理的な住所、連絡先、注文数、PayPalアカウントのメール、IPアドレスなどのユーザーデータが含まれていました。
⑪ Colonial Pipeline社
燃料不足が報告された州: 5
米国最大手の石油・ガス会社であるColonial Pipeline社がランサムウェアの攻撃を受け、パイプラインの操業が一時的に停止し、米国5州でエネルギー危機が発生しました。また、ジェット燃料も不足し、航空業界にも影響が及びました。この攻撃はDarksideに所属する攻撃者によって引き起こされたものであり、公共安全保障上の脅威であると宣言されました。
⑫ Android
影響を受けたレコードの数: 1億レコード
クラウドサービスの設定ミスにより、Androidユーザー1億人以上の個人情報が流出したことが明らかになりました。
⑬ JBS社
影響:世界的な牛肉不足
ブラジルの食肉加工会社で、アメリカ最大の牛肉と豚肉の供給元であるJBS社は、ランサムウェアグループのREvilが同社のネットワークを侵害したことを確認しました。この攻撃により、同社の全工場が操業停止に追い込まれ、世界的に食肉価格が高騰しました。JBS社は1,100万ドルの身代金を支払ったと報じられています。
⑭ Volkswagenグループ
影響を受けたレコードの数: 330万レコード
フォルクスワーゲンおよびアウディの顧客330万人分の個人情報が流出したことが公表されました。この情報には、住所、電子メールアカウント、携帯電話番号、購入、リース、問い合わせた自動車に関する情報、車両参照番号、メーカー、タイプ、年式、色、トリムパッケージが含まれていました。併せて、運転免許証番号、生年月日、社会保障情報、財務情報など、米国内の9万人分の情報が流出したと報じられました。
⑮ LinkedIn社
影響を受けたレコードの数: 7億レコード
LinkedInサービスのユーザー7億人分のデータが、”God User “と名乗る犯人によってダークウェブに投稿されました。この侵害はLinkedInのユーザーの90%以上に影響を与え、また、“God User”自身はLinkedInの顧客データベース7億人分すべての販売を計画していると主張していました。LinkedIn社は、機密データは影響を受けていないと主張しましたが、サンプルでは、電子メールアドレス、電話番号、ジオロケーションの記録、性別、およびその他のソーシャルメディアの詳細が侵害に含まれていることが確認されています。
⑯ T-Mobile社
影響を受けたレコードの数: 4,000万レコード
T-Mobile社の顧客情報数百万件がダークウェブに販売目的で投稿されました。流出したデータには、T-Mobile社の現顧客、元顧客、見込み顧客の氏名、生年月日、社会保障番号、運転免許証/ID情報などが含まれていました。
⑰ IndiaMART社
影響を受けたレコードの数: 3,800万レコード
インドのeコマース企業IndiaMART社に関連する3,800万件のレコードが、ハッキングフォーラムで発見されました。データには、2,000万を超える電子メールアドレス、名前、電話番号、および物理アドレスが含まれていました。
⑱ Neiman Marcusグループ
影響を受けたレコードの数: 435万レコード
Neiman Marcusグループは、サイバー犯罪者が攻撃を受け、435万人のお客様の個人情報が窃取されたことを確認しました。同百貨店によると、併せて、約310万枚の決済用カードおよびバーチャルギフトカードが被害を受けたとのこと。
⑲ CoinMarketCap
影響を受けたレコードの数: 310万レコード
暗号通貨時価総額サイト:CoinMarketCapから窃取された310万人分の電子メールアドレスがハッキングフォーラムで取引されていたことが発見されました。情報がどのように取得されたかは不明であり、CoinMarketCapを運営する会社は現在も調査を行っています。
⑳ CyberServe社
影響を受けたレコードの数: 110万レコード
イスラエルのホスティングプロバイダーであるCyberServe社は、「ブラックシャドー」と呼ばれる攻撃者グループによって、サイバー攻撃をされ、身代金を要求されました。この情報漏洩には、LGBTQの出会い系サイト「Atraf」や「Machon Mor Medical Institute」など複数の異なるサイトが関係し、その影響は広範囲に及んでいます。
SecurityScorecardはどのように役立ちますか?
上記のインシデントの多くに共通しているのは、第三者によって発見されたことです。漏えいの発見は、ダークウェブ上でハッカーのチャットや流出した認証情報を見て、その漏洩に気づくケースがほとんどです。
SecurityScorecardのレイティング プラットフォームは、インターネット全体からセキュリティ上の脆弱なポイントに関する様々なデータを収集します。これらのデータには、まさしく、「情報の漏洩の可能性を示すもの」から、「攻撃者が攻撃を企てた場合、その攻撃のきっかけになる可能性がある脆弱なポイント」など広範囲に及びます。
SecurityScorecardをご利用いただくと、自組織で上記データをタイムリーにかつ継続的に確認をすることができ、攻撃者からの攻撃される可能性を軽減し、また、情報漏えいの可能性にも効率的に気が付くことが可能になります。