ハッカーが銀行の9万人分の個人情報と引き換えに約1億1千万円相当のXRPを要求
- カナダで銀行がハッキング被害、犯人からシステム脆弱性の指摘も
- 今回、ターゲットとなったのは、カナダのモントリオール銀行とカナディアン・インペリアル商業銀行所有のオンライン銀行、Simplii Financialの9万人分のパスワードなどを含む個人識別情報で、ハッカーは、このデータの「身代金」としての100万ドル(約1億1千万円)を、仮想通貨XRPで支払うことを要求しました。
- 事件の現在
- 犯人の要求に対応したかどうかの発表はまだですが、今回の事件によって、データのデジタル化がますます進む今日、サイバー空間において、個人情報が持つ価値の大きさ、その取り扱いと保護の重要性が、改めて示されたと言えるでしょう。
カナダで銀行がハッキング、犯人からシステム脆弱性の指摘も
仮想通貨の一般社会での認知度が高まり、時価総額が増えて行くことは、仮想通貨投資家にとっては望むべき展開でしょう。
しかし同時に、仮想通貨を犯罪に利用しようとするグループにとってもより魅力的なターゲットとして認識され、事件につながるという事態も起こってきています。
ビットコインの価格が高騰し世間の注目を集め始めた昨年末、イギリスで登録された仮想通貨取引所EXMOのCEO、Pavel Lerner氏がウクライナで誘拐され、一億円の身代金をBTCで支払い、解放されるという事件が起きています。
先週も、南アフリカで、13歳の少年が誘拐され、BTCで身代金を要求されたという事件がありました。
幸い、少年は4日後に無事に保護されましたが、身代金の支払いについては警察は明らかにはしておらず、犯人も捕らえられていないと報道されています。
そして、今回、ターゲットとなったのは、カナダのモントリオール銀行とカナディアン・インペリアル商業銀行所有のオンライン銀行、Simplii Financialの9万人分のパスワードなどを含む個人識別情報で、ハッカーは、このデータの「身代金」としての100万ドル(1億1千万円)を、仮想通貨XRPで支払うことを要求しました。
漏洩した個人情報には、顧客の名前、口座番号をはじめ、パスワード、セキュリティのための質問と答え、社会保険番号、口座残高などが含まれており、犯人は情報入手の信憑性を示す証拠として、二人分の顧客の口座情報を提示し、その内容は確認されたと言われています。
モントリオール銀行のプレスリリースによると、事件が起こったのは5月27日で、顧客の個人及び金融情報を手に入れたと、ハッカーからの通知があったため、侵害された当該顧客のデータアクセスはすぐに遮断されたとしています。
翌28日、被害当事者である、モントリオール銀行とSimplii Financialは、いち早く、ツイッターやフェイスブックなどのソーシャルメディアで、顧客にハッキングの事実を発表し、個人レベルでの対応を呼びかけるとともに、事態の進展状況を報告、また、個人情報が漏洩したと疑われる顧客には、直接、連絡を取ることで、事態の悪化を未然に防ごうと努力していることが伺われます。
5月29日、カナダの公共放送機関、CBCは、この事件についての報道の中で、犯人からとされる、ロシアから発信されたE メールの内容を紹介していますが、この事件の特異性は、犯人がどのようにして、顧客の個人識別情報を入手したかについて、E メールで詳しく説明し、モントリオール銀行とSimplii Financialの顧客情報のセキュリティ対策の脆弱性を指摘し、警鐘を鳴らしていることでしょう。
モントリオール銀行とSimplii Financialは、ともにLUHNアルゴリズムを用いて、カード番号を生成していることが脆弱性を生んでいる。
モントリオール銀行は、2018年1月に初めて、その脆弱性を「半分だけ」パッチを当てて修正した。
これは、ともに犯人からとされるEメールに書かれた内容ですが、一般的な数学のアルゴリズムを使って、口座番号を手に入れ、「パスワードを忘れた」口座名義人の振りをして、セキュリティのための質問と答えをリセットし、口座へアクセスに成功したと主張しています。
さらに犯人は、次のように書いています。
銀行は、半分しか認証されていない口座に、多くの許可を与えすぎているため、我々がこれらの全ての情報をつかむことができたのだ。 銀行はセキュリティの質問が正確に入力されるまで、パスワードが有効なものかどうか、チェックしていなかった。
事件の現在
このEメールで、犯人は、XRPでの「身代金」の支払い期限を5月28日午後11時59分と指定し、支払いがなされない場合は、9万人分の情報が、詐欺サイトと詐欺コミュニティにリークされると脅しています。
すでに、身代金の支払い期限は過ぎていますが、CBCのレポートによると、犯人の指定した仮想通貨ウォレットは、先月開設されたもので、すでに約500万ドル(5億5千万円)相当が入っているそうです。
モントリオール銀行は、犯人への支払いが行われたかどうかの回答として次のように述べています。
私どもの慣例としましては、詐欺師に支払うということはしておりません。 顧客保護と支援に重点的に取り組んでおります。
一方、Simplii Financialは、「Simpliiの顧客のデータと利益を守るため、サイバーセキュリティの専門家、法執行機関および関連機関と継続して協力してまいります。」と述べるにとどまりました。
今回の事件によって、データのデジタル化がますます進む今日、サイバー空間において、個人情報が持つ価値の大きさ、その取り扱いと保護の重要性が、改めて示されたと言えるでしょう。
この事件を受け、カナダのサイバーセキュリティ企業、Cytelligence 執行取締役のDaniel Tobok氏は、銀行側ができるセキュリティ対策の一つとして、サーバー上のデータの暗号化を提案しています。
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します