なぜサイバー犯罪者たちは「住宅ローン企業」を狙うのか？

サイバー攻撃が住宅ローン関連企業に集中している。攻撃者の狙いは何なのだろうか。

[Matt Kapko，Cybersecurity Dive]

　2023年末は住宅ローン関連企業へのサイバー攻撃が相次いだ。製造業や官公庁、自治体、医療、小売業など業種は他にも幾つもあるが、なぜこの業界がターゲットとされたのか。受けた被害の実態と手口から、その原因を探る

サイバー犯罪者たちはなぜローン関連企業を狙うのか？

　このような特定企業を狙うサイバー攻撃の目的は何なのだろうか。実際に被害を受けたローン関連企業の被害状況を振り返り、サイバー犯罪者の手口と狙いを考察する。

　2024年1月8日に被害を公開したのはカリフォルニアに拠点を置く住宅ローンサービス企業LoanDepotだ。同社は全米でRocket Mortgageに次ぐ2番目に大きなノンバンク型の住宅ローンサービス企業として知られている。

　同社はサイバー攻撃を受けた後、ITシステムの一部をオフラインにしたと発表した後、部分的にサービスがオンラインになった時点で1月26日まで9回にわたって状況を公開し続けている（注1）。

　LoanDepotは、2024年1月8日に証券取引委員会（SEC）に提出した書類の中で、次のように記した（注2）。

　「調査は継続中だが、現時点では第三者による不正な行為により、特定の社内システムに不正アクセスされ、データを暗号化されたとみている。これを受けて、当社は特定のシステムをシャットダウンして業務運営の安全を確保し、その後、システムを再稼働させた。事故への対応を引き続き実施中だ」

　同じ書類の中には次のような記述がある。

　「不正な活動を検知した時点で、当社はサイバーセキュリティの専門家の協力を得て調査を開始し、関連する規制当局や法執行機関への通知を開始するなど、インシデントを封じ込め、対応措置を速やかに講じた」

　同社は「影響が及んだ範囲を特定し、その影響を最小限に抑えるための措置を講じている」としているものの、LoanDepotの広報担当者は、攻撃者がいつどのようにして同社のシステムにアクセスしたのか、恐喝要求を受けたのか、また、身代金を支払ったのかについては明言を避けた。

狙いは個人情報と身代金か

　LoanDepotへの攻撃は、数カ月にわたって不動産業界の大手企業を狙ったもののうち、4番目に当たる。

　2023年10月下旬の攻撃では、住宅ローンサービス企業のMr. Cooper Groupが狙われた。現在と過去の顧客が対象となり、約1470万件の個人情報が盗まれた（注3、注4）。

　2023年11月にはFidelity National Financialに対するサイバー攻撃があり（注5）、権原保険や住宅ローンに関する取引を含む同社のサービス全体に混乱が生じた。さらに、権原保険に関する事業を営む大手企業のFirst American Financialは、2024年1月1日の週に「2023年12月下旬の攻撃で（注6）、企業のデータが盗まれ暗号化された」と発表した。

出典：LoanDepot caught in mortgage industry cyberattack spree（Cybersecurity Dive）
注1：loanDepot is experiencing a cyber incident.（LoanDepot）
注2：loanDepot, Inc.（SEC）
注3：Mr. Cooper cyberattack hits every current — and former — customer（Cybersecurity Dive）
注4：Cyberattack hits Mr. Cooper, blocks millions of mortgage payments（Cybersecurity Dive）
注5：Fidelity National Financial investigating cyberattack that led to service disruption（Cybersecurity Dive）
注6：First American Financial confirms threat actors stole and encrypted data（Cybersecurity Dive）