ハッカーが銀行の9万人分の個人情報と引き換えに約1億1千万円相当のXRPを要求

カナダで銀行がハッキング被害、犯人からシステム脆弱性の指摘も: 今回、ターゲットとなったのは、カナダのモントリオール銀行とカナディアン・インペリアル商業銀行所有のオンライン銀行、Simplii Financialの9万人分のパスワードなどを含む個人識別情報で、ハッカーは、このデータの「身代金」としての100万ドル（約1億1千万円）を、仮想通貨XRPで支払うことを要求しました。
事件の現在: 犯人の要求に対応したかどうかの発表はまだですが、今回の事件によって、データのデジタル化がますます進む今日、サイバー空間において、個人情報が持つ価値の大きさ、その取り扱いと保護の重要性が、改めて示されたと言えるでしょう。

カナダで銀行がハッキング、犯人からシステム脆弱性の指摘も

仮想通貨の一般社会での認知度が高まり、時価総額が増えて行くことは、仮想通貨投資家にとっては望むべき展開でしょう。

しかし同時に、仮想通貨を犯罪に利用しようとするグループにとってもより魅力的なターゲットとして認識され、事件につながるという事態も起こってきています。

ビットコインの価格が高騰し世間の注目を集め始めた昨年末、イギリスで登録された仮想通貨取引所EXMOのCEO、Pavel Lerner氏がウクライナで誘拐され、一億円の身代金をBTCで支払い、解放されるという事件が起きています。

先週も、南アフリカで、13歳の少年が誘拐され、BTCで身代金を要求されたという事件がありました。　

幸い、少年は4日後に無事に保護されましたが、身代金の支払いについては警察は明らかにはしておらず、犯人も捕らえられていないと報道されています。

そして、今回、ターゲットとなったのは、カナダのモントリオール銀行とカナディアン・インペリアル商業銀行所有のオンライン銀行、Simplii Financialの9万人分のパスワードなどを含む個人識別情報で、ハッカーは、このデータの「身代金」としての100万ドル（1億1千万円）を、仮想通貨XRPで支払うことを要求しました。

漏洩した個人情報には、顧客の名前、口座番号をはじめ、パスワード、セキュリティのための質問と答え、社会保険番号、口座残高などが含まれており、犯人は情報入手の信憑性を示す証拠として、二人分の顧客の口座情報を提示し、その内容は確認されたと言われています。

モントリオール銀行のプレスリリースによると、事件が起こったのは5月27日で、顧客の個人及び金融情報を手に入れたと、ハッカーからの通知があったため、侵害された当該顧客のデータアクセスはすぐに遮断されたとしています。

翌28日、被害当事者である、モントリオール銀行とSimplii Financialは、いち早く、ツイッターやフェイスブックなどのソーシャルメディアで、顧客にハッキングの事実を発表し、個人レベルでの対応を呼びかけるとともに、事態の進展状況を報告、また、個人情報が漏洩したと疑われる顧客には、直接、連絡を取ることで、事態の悪化を未然に防ごうと努力していることが伺われます。

5月29日、カナダの公共放送機関、CBCは、この事件についての報道の中で、犯人からとされる、ロシアから発信されたE メールの内容を紹介していますが、この事件の特異性は、犯人がどのようにして、顧客の個人識別情報を入手したかについて、E メールで詳しく説明し、モントリオール銀行とSimplii Financialの顧客情報のセキュリティ対策の脆弱性を指摘し、警鐘を鳴らしていることでしょう。

モントリオール銀行とSimplii Financialは、ともにLUHNアルゴリズムを用いて、カード番号を生成していることが脆弱性を生んでいる。

モントリオール銀行は、2018年1月に初めて、その脆弱性を「半分だけ」パッチを当てて修正した。

これは、ともに犯人からとされるEメールに書かれた内容ですが、一般的な数学のアルゴリズムを使って、口座番号を手に入れ、「パスワードを忘れた」口座名義人の振りをして、セキュリティのための質問と答えをリセットし、口座へアクセスに成功したと主張しています。

さらに犯人は、次のように書いています。

銀行は、半分しか認証されていない口座に、多くの許可を与えすぎているため、我々がこれらの全ての情報をつかむことができたのだ。　銀行はセキュリティの質問が正確に入力されるまで、パスワードが有効なものかどうか、チェックしていなかった。