海外における個人情報流出事件とその対応 第197回 データを人質に1,000万ドルを要求 (2)拡大してゆくターゲット
●昨年にも医療関係のランサムウェア事件
国際
海外情報
ランサムウェアとは、トレンドマイクロのWebサイトでの説明によると、コンピュータ内のデータを人質代わりにして身代金を要求する活動を行う不正プログラムを指す呼称となっている。コンピュータ内のデータを暗号化してユーザがアクセスできない状態にし、復号のために金銭を振り込ませる手口が一般的だ。
データの"身代金"の受渡しにリスクが伴うことから、"プロのハッカー"は、"データを誘拐"して、リスクを負って"身代金を要求"するより、不正に情報・データを取得したら、ブラックマーケットで売りさばいていると考えるセキュリティ関係者が多い。しかし、ハッカーが医療データを盗んで、身代金を要求したケースは、昨年の10月にも起こっている。
被害を受けたのはミズーリ州セントルイスに本社のあるExpress Scriptsで、米国の処方箋処理会社だ。2008年のFortune 500社の中で135位にランキングされた大手企業で、同社Webサイトによると、「毎年、宅配と小売薬局を通じて、数百万件の処方箋薬を扱っている」という。
11月6日に、Express Scriptsは、数百万件の患者の記録を公開すると脅迫する手紙を受け取ったことを発表した。犯人は情報を獲得した証拠として、75人の氏名、生年月日、社会保険番号、一部は処方箋の情報も提示してきたという。
脅迫状が届いたのは10月初めだ。Express Scriptsでは脅迫状を受け取ってすぐに、FBIに通報するとともに、社外のデータセキュリティやコンピュータ・フォレンジックのエキスパートに依頼して、独自の捜査も続けた。
プレスリリースによると、Express Scriptsは「メンバーの個人情報を権限のないアクセスから守るためにさまざまなセキュリティシステムを配備している」。しかし、「攻撃を受けても完全なシステムは存在しない」こともあり、データを奪われてしまったと説明している。
Express Scriptsでは、個人情報盗難の被害に遭ったときに迅速に対応できるよう、メンバーとクライアントに通知も行った。事件についての説明、そして個人情報盗難の被害を最小限にするための情報などを紹介するWebページwww.esisupports.com .も用意している。
脅迫状を受け取った後、Express ScriptsのGeorge Paz代表は、要求に応じるつもりはないと発表。その上で、脅迫者の身元について、100万ドルの懸賞金も提示した。
事件について報じたSoftpediaも、セキュリティ企業SophosのGraham Cluleyのコメントを紹介している。Cluleyは、「支払いを行うと、要求額が増える可能性がある、あるいは、他の(組織から情報を)盗み、脅迫する可能性がある」ことから、脅迫者の要求に応じなかったというExpress Scriptsの対応は正しいとの考えだ。
そして、Softpediaは、この犯人は経験が豊富なハッカーではないとの姿勢だ。情報を実際に盗んでいることを証明するため、75件のデータを示していたというが、これらの情報は、個人情報を売買する地下経済、カーディング・コミュニティで売ると収入になる。Express Scriptsに脅迫状を送ったことで、逮捕されるリスクが高くなった上、Express Scriptsが要求に応じても、報酬の受渡しの際に逮捕される恐れもあった。
●マセラッティを脅迫したデータ盗難犯を逮捕
実際、Express Scriptsの事件の少し前に、自動車メーカー、マセラッティが集めた個人情報を盗み、同社を脅迫していた、カリフォルニア州在住の男性が起訴されている。起訴を行ったカリフォルニア南部地域検察局だ。9月22日付プレスリリースによると、男性は60歳のBruce Menglerで、9月19日にFBIにより逮捕されていた。
発表によると、2008年初旬にマセラッティ・ノースアメリカは、テストドライブに参加することを求めるチラシを見込み客に郵送。それぞれのチラシにIDコードが用意されていて、テストドライブへの参加を希望する人は、プロモーション用Webサイトにアクセスして入力すると、レストランでのギフト券が提供されるというものだった。また、Webサイトでは、アクセスしたユーザが、名前や連絡先情報を確認して、最新情報を入力するように求めていた。
Menglerは3月9日ごろから、このWebサイトを攻撃して、ハッキングにより、これらの個人情報をダウンロード。起訴状によると、マセラッティはMenglerの侵入で、5,000ドルを超える損害を受けている。
そして、3月11日から30日まで、gmail口座を用いて、多数の脅迫状をマセラッティに送付した。e-mailには、確かに情報を入手していることを証明するために、サンディエゴ地域の顧客の氏名、住所、PIN番号が挙げられていた。
Menglerはプロモーションに申し込んだ消費者のデータベース全体をダウンロードしていたようだ。ただし、なんらかの金銭を要求していたか、その場合の金額は幾らだったかなどは、明らかにはなっていない。
企業や組織をターゲットにしたランサムウェアのケースが、約半年で少なくとも3件、報じられている。マセラッティのケースでは犯人逮捕、Express Scriptsでも現金を獲得したとは考えられない、というように成功率は低いようだ。
●企業から一般ユーザへターゲット拡大
ランサムウェアでは金銭を要求することから、犯人が逮捕される可能性を指摘するセキュリティ専門家もいるが、犯人がサイバー犯罪の取り締まりが厳しくない国に住んでいる場合は話が違ってくる。インターネットは国際的な犯罪だ。サイバー犯罪検挙に国境の壁が立ちはだかるのも事実で…
【執筆:バンクーバー新報 西川桂子】
【関連記事】
SCAN DISPATCH : 「RSA1024キー」を使用するランサムウエア
https://www.netsecurity.ne.jp/2_11710.html
ランサムウェア「Gpcode」の暗号鍵解読への協力を呼びかけ(Kaspersky Lab)
https://www.netsecurity.ne.jp/1_11724.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》
