「100万ドル払え、さもなくば……」不可解なサイバー攻撃の行方

サイバー犯罪者が1000万人の顧客データを流出させる事件が起こった。不可解なのは攻撃圧力を高めた後、身代金要求を取り消し、撤退したことだ。その事件の全貌は。

[Matt Kapko，Cybersecurity Dive]

　2022年9月に発生した、オーストラリア第2位の無線通信事業者であるSigtel Optus（以下、Optus）に対するサイバー攻撃の犯罪者が、「100万ドルの身代金要求を取り消し、盗んだデータを削除した」と主張しているとThe Guardianが報じた（注1）。

　このサイバー犯罪者は、「1万人の個人情報を流出させ、身代金を支払わなければさらに情報を流出させる」と脅していた。セキュリティベンダーのSophosによると、2021年にランサムウェアの被害を受けた企業の10社に1社は、少なくとも100万ドルの身代金を支払った（注2）。

　オーストラリア政府当局は、「今回のサイバー攻撃は巧妙に行われた」とするOptus幹部の主張に異議を唱えた。オーストラリア連邦政府の内務・サイバーセキュリティ担当大臣であるクレア・オニール氏は、この攻撃を「極めて基本的なハッキング」と表現し、「オーストラリアの成人の約半数がこの攻撃によって個人情報を漏えいされた」と付け加えた。

　またオニール氏は、「このような性質のデータを盗まれる危険性を事実上放置している通信事業者は存在すべきではない」とも述べている。

　連邦当局によると、今回の攻撃で個人情報が漏えいした約1000万人のうち、280万人が“広範な個人情報”を盗まれたという。オニール氏は、「盗まれた情報は身元確認情報に相当する。280万人のオーストラリア国民にとって、ID窃盗や詐欺の範囲は非常に大きなものだ。オーストラリアの歴史上、前例のない消費者情報の盗難だ」と言う（注3）。

　オーストラリア連邦警察は、「Optusおよび英国、米国、欧州、アフリカの当局と協力して犯人を特定し、この攻撃によるID詐欺からオーストラリア国民を保護するために取り組んでいる」と述べた。

出典：Australia’s telecom giant Optus avoids ransom demand as attacker reverses course（Cybersecurity Dive）

注1：Alleged Optus hacker apologises for data breach and drops ransom threat

注2：Ransomware attacks, payouts soared worldwide in 2021: report

注3：abc730によるオニール氏（サイバーセキュリティ担当大臣）のインタビュー