top_line

【 最新ニュースをアプリでサクサク読むなら! 】

謎のハッカー集団が保険会社の個人情報を人質に身代金を要求

カラパイア


 オーストラリアでは、正体不明のハッカー集団によって保険会社が管理する個人情報が盗まれ、身代金を要求されるという大事件が起きている。

 被害に遭ったのはオーストラリアの保険会社「メディバンク(Medibank)」だ。同社は「BlogXX」と呼ばれるハッカーに、1000万人分の医療記録を含む顧客情報を盗まれた恐れがある。

 同社は先月から身代金を要求されていたが、11月7日にこれを拒否。その翌日、ダークウェブ上に500万人分の医療記録を含む個人情報が漏洩されていることが判明した。

 ハッカーは個人情報を「naughty(きわどい)」リストと「nice(ナイス)」リストに分類し、その両方を漏洩。きわどいリストには、薬物依存症や精神疾患で治療を受けた人が掲載されている。

 BlogXXは、情報漏えいは始まったばかりであると、さらなる犯行をほのめかしているそうだ。

保険会社の個人情報を奪い取った謎のハッカー集団「BlogXX」

 ハッカーの正体は、名前も含めて不明だ。

 だがBlogXXは、メディバンク社とやりとりしたメールを公開しており、自らが「関連グループ」であることを明かしている。これが本当なら、犯人は個人ではなく、集団であるということになる。

 なおBlogXXという名称は、個人情報が漏えいされたダークウェブのドメイン名の一部に「BlogXX」とあったことから名付けられたもので、ハッカーがそう名乗っているわけではない。

 奇妙なことに、そのドメインは以前ロシアのハッカー集団「REvil」が使用していたものだという。ただしBlogXXがREvilと同一の集団であるかどうかは現時点で不明だ。

 公開されたメールには、「身代金と引き換えにデータが返却・削除される保証がない」というメディバンク社による指摘も含まれている。

 これに対し、BlogXXは、「我々は非合法であってもビジネスをしている。ゆえに評判を重んじる」「我々の関心はお金であって、あなたの会社を破壊することではない」と回答している。

photo by Pixabay

1000万人分の個人情報が盗まれた恐れ

 BlogXXから最初に脅迫があったのは10月のことだ。彼らは、政治家・俳優・活動家など、オーストラリアの著名人も含まれる個人情報を流出させると脅してきた。

 この脅迫状は、カタコトの英語だったため、ハッカーが英語圏以外のグループである可能性も指摘されている。

 メディバンク社は現在390万人の顧客を抱えているが、過去の顧客も含めれば1000万人分の個人情報が盗まれた可能性がある。

 悪いことに、メディバンク社は保険会社であるにもかかわらず、サイバー保険に加入していなかった。

 ある試算によれば、今回の事件で同社は数千万ドルの損失を被る恐れもあり、すでに訴訟を起こす動きもあるという。

 またメディバンク社は、ハッキングへの対応の遅さから批判を受けており、当初は侵入されたとしても、個人情報が盗まれた可能性は低いとすら発表していた。

オーストラリア警察が犯人逮捕作戦を開始

 家族が被害に遭ったというオーストラリアの上院議員デビッド・シューブリッジ氏は、「何百万人ものオーストラリア人と同様、私の家族もメディバンク社の情報漏えいに巻き込まれ、個人情報がダークウェブにあることを知りました」とツイートする。

 「既存の法律と情報保護制度ではハッカーに太刀打ちできず、最悪のデータ流出という悪夢が現在進行形で起きています」

 オーストラリア連邦警察は、「ガーディアン作戦」と呼ばれる犯人逮捕作戦の開始を発表。ハッカーから脅迫された人は、警察に連絡するよう呼びかけている。

 同国の法律では、盗んだ個人情報を悪用して金銭を得た者は、最高10年の懲役が科されるそうだ。

References:Medibank hackers target high-profile drug and mental health patients as AFP steps up action – ABC News / Insurance Company Refuses to Pay Ransom, So Hackers Start Releasing Health Records of Up To 10 Million People / written by hiroching / edited by / parumo

TOPICS

ランキング(動画)

ジャンル