ShinyHuntersがAddi.comを攻撃:1600万件の金融記録が窃取される

ランサムウェアグループ「ShinyHunters」が、コロンビアの金融サービス企業Adelante Soluciones FinancierasとしてWして運営するAddi.comへのサイバー攻撃の犯行声明を出した。同グループの発表によると、1600万件以上の記録が侵害され、機密性の高い個人情報、クレジットカードの取引詳細、TransUnionやExperianなどの主要信用調査機関から取得した本人確認(KYC)データが含まれているという。窃取されたデータの総量は518GBに上るとされている。

この侵害は、同グループによる攻撃がエスカレートしているパターンの一部である。ShinyHuntersはここ数ヶ月で複数の注目すべき事件に関与しており、オランダの通信事業者Odidoから2100万件の記録を窃取したとされる事件や、ホームセキュリティ企業Alert 360で250万件の記録が流出した侵害事件などが挙げられる。同グループは活動の頻度と規模の両面で加速しているように見受けられる。

この侵害が特に深刻な理由

ほとんどのデータ侵害は、1〜2種類の個人情報に関わるものだ。Addi.comの事件が異なるのは、複数の層にわたる高度に機密性の高いデータが単一のデータセットに組み合わされている点である。

KYCデータはサイバー犯罪者にとって特に価値が高い。金融機関は顧客の本人確認のためにこの情報を収集しており、通常、政府発行のID番号、住所証明、雇用情報、場合によっては生体認証記録が含まれる。そのデータがTransUnionやExperianのような信用調査機関の記録と組み合わされると、攻撃者は各被害者の完全な金融プロフィールを手にすることになる。

信用調査機関のデータには、クレジットスコア、ローン履歴、未払い債務、数年にわたる支払い行動などが含まれる場合がある。取引レベルのクレジットカードデータと組み合わされることで、不正なアカウントの開設、被害者名義でのローン申請、あるいは特定の金融的脆弱性を狙った巧妙なフィッシング詐欺に必要なすべての情報を悪意ある者に与えてしまう。

コロンビアおよびAddi.comが事業を展開するその他の市場のユーザーにとって、なりすまし詐欺や金融アカウントの乗っ取りリスクは当面の間高まった状態が続く。

VPNだけではこの種の情報流出から身を守れない理由

VPNを使用すればデータ侵害からユーザーを守れるという誤解が広く存在する。しかし実際にはそうではない。VPNはインターネット通信を転送中に保護し、IPアドレスを隠してデバイスとサーバー間のデータを暗号化する。しかし、ユーザーがすでに情報を共有した後、企業自身のデータベース内で何が起きるかとは無関係だ。

Addi.comの侵害は、ほとんどの主要な金融データ事件と同様に、通信中ではなくサーバーレベルで発生した。企業がKYC書類、信用履歴、取引記録を保有している以上、個人のVPN設定はそのデータの安全性に何ら影響を与えない。

これはVPNが重要でないということを意味するわけではない。特に傍受による資格情報の窃取が現実的なリスクとなる公衆ネットワーク上では、接続を暗号化することは依然として意味のある対策だ。しかし、今回のような侵害事件は、プライバシー保護には単一のツールではなく、多層的なアプローチが必要であることを改めて示している。

あなたが取るべき行動

Addi.comまたはAdelante Soluciones Financierasとデータを共有しているサービスを利用したことがある場合、企業からの公式確認を待たずとも、自身の情報がすでに流通している可能性があるという前提で行動すべきだ。

今すぐ取るべき具体的な対策を以下に示す:

  • 信用情報を監視する。 多くの国では、信用調査機関に無料のレポートを請求できる。自分が開設していないアカウントや照会がないか確認すること。信用調査機関のデータが今回の侵害に含まれていた場合、不正なクレジット申請は近い将来の現実的な脅威となる。
  • 利用できる地域であれば信用凍結を申請する。 凍結を行うことで、たとえ誰かが完全な個人情報を持っていたとしても、本人の直接の関与なしには新たな信用が開設できなくなる。
  • すべての金融アカウントのパスワードを変更する。 複数のサービスで同じ認証情報を使い回していた場合は、直ちに更新すること。パスワードマネージャーを使用して、アカウントごとに固有のパスワードを生成・保存することを推奨する。
  • 多要素認証を有効にする。 バンキングアプリ、メール、および金融活動に紐づくアカウントでは、MFAが窃取された認証情報だけでは突破できない障壁を追加する。
  • 標的型フィッシングに注意する。 詳細な金融プロフィールを持つ攻撃者は、実際のローン履歴やアカウント情報を引用した巧妙なメールや電話を仕掛けてくることがある。金融情報の確認を求める迷惑な連絡には懐疑的な姿勢を保つこと。
  • 侵害監視サービスを利用する。 新たに流出したデータセットにあなたのメールアドレスや認証情報が含まれていた場合に通知してくれる信頼性の高いサービスが複数存在する。アラートを設定しておくことで、企業からの公式通知を待つよりも早い警告を受け取ることができる。

ShinyHuntersグループは、数百万件のセキュリティ顧客の記録を流出させたADTへの攻撃でも示されたように、いかなる業種も例外ではなく、交渉によってデータの公開や売却が確実に防げるわけではないことを繰り返し証明してきた。

Addi.comの侵害は、金融上の個人情報を守るには一度きりの設定ではなく、継続的な注意が必要であることを改めて示している。VPN、パスワードマネージャー、侵害監視、信用凍結といったツールを組み合わせて活用することで、データを保有する企業が対策を怠った場合でも、意味のある耐性を持つことができる。被害が生じてから数週間後に届くかもしれない企業の公式通知を待つのではなく、今すぐ自分の露出状況を確認することを強く勧める。