Hacker Behind Optus Breach Releases 10,200 Customer Records in Extortion Scheme
2022.09/27 TheHackerNews — 月曜日に、オーストラリア連邦警察 (AFP:Australian Federal Police) は、通信事業者 Optus のハッキング事件を受けて、国外の法執行当局と共同で証拠の収集に努めていることを明らかにした。AFP は声明で、「ハッキング事件の背後にいる犯罪者を特定し、オーストラリア人を ID 詐欺から保護するために、Operation Hurricane が開始された」と述べている。
この調査は、2022年9月22日に、オーストラリア第2位の無線通信事業者である Optus がサイバー攻撃の被害者であると明らかにしたことを受けて開始された。同社は、攻撃が明るみに出た際に、直ちに攻撃を遮断したと主張している。
この情報漏えいの背後にいる脅威アクターは、不正に取得した 10,200件の記録を一時的に公開し、これらのユーザーを詐欺の危険に晒すことで、Optus に $1 million を要求していた。このデータセットは削除されたが、脅威アクターは、漏洩したデータのコピーのみを削除したと主張している。
Singtel の完全子会社である Optus は、2019年12月時点で、1,000 万人を超える加入者を有すると推定される。同社は、事件が発生した時期については明らかにしていない。
Optus は、不正アクセスの影響を受けた可能性のある顧客の人数については、まだ特定されていないとしている。しかし、この不正アクセスにより、顧客の氏名/生年月日/電話番号/メールアドレスが流出し、一部の顧客ついては、住所/運転免許証/パスポート番号などの、身分証明書番号が流出した可能性があると発表している。
さらに厄介なことに、以前に利用していた顧客の情報も流出したと言われており、そのような情報を、Optus が保持する必要があるのかという懸念も生じている。しかし、支払いに関する詳細や口座のパスワードは流出していないと、同社は述べている。
Optus は、プライバシー・ポリシーの中で、「顧客が個人情報の削除を要求できるものでも、法的義務を理由に、必ずしも削除できない場合がある。The Telecommunications Interception and Access Act 1979 (Cth) により、顧客の個人情報の一部を、一定期間は保有することが求められる場合がある」と述べている。
同社は、どのようにハッキングが行われたかという点については、現状では公開していない。しかし、ISMG セキュリティ・ジャーナリストの Jeremy Kirk によると、認証されていない API エンドポイント api.www.optus.com[.]au を通じて、アクセス権が獲得されており、2019年1月の時点で一般にアクセス可能になっていたようだ。
Optus のユーザーは、主に銀行/金融のサービスなどの、オンライン・アカウントに対して安全対策を講じ、不審な動きがないか監視し、詐欺やフィッシングの可能性に注意する必要がある。
さらに Optus は、最も影響を受けた現在/過去の顧客に対して、個人情報盗難のリスク軽減のために、信用モニタリングと個人情報保護サービス Equifax Protect の、12カ月間の無料加入を提供すると述べている。
オーストラリアの競争消費者委員会 (ACCC:Australian Competition and Consumer Commission) は、「詐欺師は、あなたの個人情報を使って、電話/テキスト/メールで連絡してくる可能性がある。突然連絡してきた相手には、決してリンクをクリックしたり、個人情報や金銭情報を提供したりしないでほしい」と警告している。
今年に入ってからの、テレコム関連へのサーバー攻撃としては、2月8日の「ポルトガルの Vodafone に大規模なサイバー攻撃:4G/5G 通信などが一時的に停止」や、4月21日の「T-Mobile の内部システムを Lapsus$ がハッキング:盗み出された認証情報で侵入?」などがあります。よろしければ、Telecom で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.