Optus でデータ侵害： 豪テレコムの約 210万人の顧客記録が流出

Optus Hack Exposes Data of Nearly 2.1 Million Australian Telecom Customers

2022/10/04 TheHackerNews — 10月4日に、オーストラリアの通信大手である Optus は、9月末にデータ侵害に遭ったことを発表した。これにより、同社における現在／過去のユーザー約 210万人分の個人情報や、少なくとも１種類の ID 情報が流出したという。同社は、「攻撃が発生した理由と、再発の防止へ向けた改善のために、Deloitte が提供する外部フォレンジック評価のサービスを利用する」と述べている。

Optus は、シンガポールの通信コングロマリットである、Singtel の完全子会社である。また Singtel は、インド第２位の通信事業者である Bharti Airtel にも多額の資本を投じている。

Singtel は Web サイトで、「約 120万人のユーザーの、現在有効な身分証明書から、少なくとも１種類の個人情報が漏洩した」と発表している。さらに同社は、今回の情報流出により、約 90万人のユーザーの、有効期限切れ個人情報が影響を受けたと述べている。ただし、770万人のユーザーの有効な ID は、流出したデータに含まれていないことを強調している。

流出したデータには、メールアドレス／電話番号／生年月日などが含まれているため、顧客はフィッシング／スミッシング攻撃の可能性に対して、引き続き注意する必要がある。また同社は、この攻撃で現在の身分証明書が流出したユーザーに対して、通知を行ったと述べている。流出したデータには、運転免許証番号／カード番号／メディケア ID 番号などが含まれているとのことだ。

9月28日に Optus は、「流出した 980万件のユーザーの記録のうち、有効な Medicare ID は 14,900件であり、期限切れの Medicare ID は 22,000件と推定される」と公表している。9月22日に明らかになった、このセキュリティ・インシデントは、悪意の脅威アクターが顧客情報への不正アクセスを行ったというものだ。実際の侵入が、いつどのように行われたのかは、明らかにされていない。

この脅威アクターは、optusdata という偽名を使って、10,200人分のユーザー・データの一部を公開し、これ以上の流出を止めるためには $1 million の身代金を支払が必要だと、Optus を脅していた。このハッカーは、その後に世間の注目が高まっていることを理由に、犯行について謝罪し、盗み出したデータを完全に破棄したと述べ、恐喝の要求を取り下げたという。

今回の情報漏洩の背後にいるとされる、optusdata に関する詳細は不明だが、オーストラリア連邦警察 (AFP：Australian Federal Police) は、この犯人を特定し、顧客を保護するための作戦を開始した。この作戦は Operation Guardian と呼ばれ、ID 犯罪や金融詐欺からの保護を、多地域／多層的に行うことを目的としている。同庁は、100人の影響を受けたユーザーの ID が、オンラインで公開されたと述べている。

先週に AFP は、「詐欺師が電話／メール／テキストなどで、被害者 である Optus ユーザーに巧妙に接触し、さらなる個人情報を聞き出しているという報告がある」と警告している。

9月27日の「Optus でデータ侵害：豪テレコムの顧客記録 10,200件がダークウェブでリーク」という記事の続報です。訳してみましたが、あまり新しい情報はなく、ちょっと残念です。なお、文中の Medicare ID ですが、オーストラリア政府のページと、米政府のページが見つかりました。後者の方には、”Medicare is our country’s health insurance program for people age 65 or older” と記されているので、日本で言う介護保険のようなものなのでしょう。それらと、電話会社の ID が紐付けられていいるのですね。