被害に遭ったのはオーストラリアの保険会社「メディバンク(Medibank)」だ。同社は「BlogXX」と呼ばれるハッカーに、1000万人分の医療記録を含む顧客情報を盗まれた恐れがある。
同社は先月から身代金を要求されていたが、11月7日にこれを拒否。その翌日、ダークウェブ上に500万人分の医療記録を含む個人情報が漏洩されていることが判明した。
ハッカーは個人情報を「naughty(きわどい)」リストと「nice(ナイス)」リストに分類し、その両方を漏洩。きわどいリストには、薬物依存症や精神疾患で治療を受けた人が掲載されている。
BlogXXは、情報漏えいは始まったばかりであると、さらなる犯行をほのめかしているそうだ。
保険会社の個人情報を奪い取った謎のハッカー集団「BlogXX」
ハッカーの正体は、名前も含めて不明だ。だがBlogXXは、メディバンク社とやりとりしたメールを公開しており、自らが「関連グループ」であることを明かしている。これが本当なら、犯人は個人ではなく、集団であるということになる。
なおBlogXXという名称は、個人情報が漏えいされたダークウェブのドメイン名の一部に「BlogXX」とあったことから名付けられたもので、ハッカーがそう名乗っているわけではない。
奇妙なことに、そのドメインは以前ロシアのハッカー集団「REvil」が使用していたものだという。ただしBlogXXがREvilと同一の集団であるかどうかは現時点で不明だ。
公開されたメールには、「身代金と引き換えにデータが返却・削除される保証がない」というメディバンク社による指摘も含まれている。
これに対し、BlogXXは、「我々は非合法であってもビジネスをしている。ゆえに評判を重んじる」「我々の関心はお金であって、あなたの会社を破壊することではない」と回答している。
photo by Pixabay
1000万人分の個人情報が盗まれた恐れ
BlogXXから最初に脅迫があったのは10月のことだ。彼らは、政治家・俳優・活動家など、オーストラリアの著名人も含まれる個人情報を流出させると脅してきた。この脅迫状は、カタコトの英語だったため、ハッカーが英語圏以外のグループである可能性も指摘されている。
メディバンク社は現在390万人の顧客を抱えているが、過去の顧客も含めれば1000万人分の個人情報が盗まれた可能性がある。
悪いことに、メディバンク社は保険会社であるにもかかわらず、サイバー保険に加入していなかった。
ある試算によれば、今回の事件で同社は数千万ドルの損失を被る恐れもあり、すでに訴訟を起こす動きもあるという。
またメディバンク社は、ハッキングへの対応の遅さから批判を受けており、当初は侵入されたとしても、個人情報が盗まれた可能性は低いとすら発表していた。
Given the nature of the stolen data that continues to be released on a dark web forum, we’re in the process of contacting customers and we urge our customers to reach out for support https://t.co/mONh6RGEXt
— Medibank (@medibank) November 13, 2022
オーストラリア警察が犯人逮捕作戦を開始
家族が被害に遭ったというオーストラリアの上院議員デビッド・シューブリッジ氏は、「何百万人ものオーストラリア人と同様、私の家族もメディバンク社の情報漏えいに巻き込まれ、個人情報がダークウェブにあることを知りました」とツイートする。「既存の法律と情報保護制度ではハッカーに太刀打ちできず、最悪のデータ流出という悪夢が現在進行形で起きています」
オーストラリア連邦警察は、「ガーディアン作戦」と呼ばれる犯人逮捕作戦の開始を発表。ハッカーから脅迫された人は、警察に連絡するよう呼びかけている。
同国の法律では、盗んだ個人情報を悪用して金銭を得た者は、最高10年の懲役が科されるそうだ。
References:Medibank hackers target high-profile drug and mental health patients as AFP steps up action - ABC News / Insurance Company Refuses to Pay Ransom, So Hackers Start Releasing Health Records of Up To 10 Million People / written by hiroching / edited by / parumo
あわせて読みたい
水道局管理システムに侵入し、大規模な飲料水の汚染を試みたハッカー、現在も行方がわからず(アメリカ)
病院のコンピューターがサイバー攻撃を受けシステムダウン、搬送中の患者が死亡するという世界初の事例(ドイツ)
脳波を解析すればパスワードやPINコードを盗み出すことが可能(米研究)
アメリカで横行するATMのハッキング方法「ジャックポット」の手口
選挙の脆弱性を探り出すため。ハッカーたちが投票機へのハッキングに挑戦するデフコン大会(アメリカ)
6171
325
10
36
コメント
1. 匿名処理班
>同国の法律では、盗んだ個人情報を悪用して金銭を得た者は、最高10年の懲役が科されるそうだ。
軽すぎる
司法がやる気がない証拠
2. 匿名処理班
ちょっとカッコイイ
いや、犯罪だからやっちゃいけないんだけどさ
3.
4. 匿名処理班
最近のハッカーって最低な人種だと思うようになってきた
5. 匿名処理班
コレ日本で遣られたら対抗手段有るんだろうか…すげぇ心許無い
6. 匿名処理班
司法とは独立した機関が動いて消してしまえば良いじゃない
7. 匿名処理班
個人情報はHDDのデータが家族に漏洩しなきゃいいや
8. 匿名処理班
※2
ハッカー(クラッカー)に幻想抱いてる人って謎だわ
大抵モヤシメガネかブヨブヨメガネの陰キャ引きこもりテロリストなんだぞ
どこでかっこいいイメージ付いたんだマジで
9. 匿名処理班
>>4
犯罪しないハッカーのことはなかなかニュースやフィクションのネタにならないから
10. 匿名処理班
そういう悪人は従来ハッカーじゃなくてクラッカーなんだよね。
定着しちゃったから、今は良い方をホワイトハッカーなんて言ってるけど。
11.
12.
13. 匿名処理班
法律作ってるヤツらがじじいばかりだから全然追いつけないなw
14. 匿名処理班
軍人将棋 「ハッカー」は「セキュリティ」に強くて「囮捜査」に弱い
15. 匿名処理班
こういうことがあるからデジタルは信用出来ない。
16. 匿名処理班
いまだにハッカーとクラッカーを区別しないのはもやもやする。
17. 匿名処理班
最近はメディアもハッカーという言葉の誤用を指摘するのを諦めたみたいで悲しい
本当のハッカーっていうのは創造的な活動で社会や人々に貢献する人たちのことなんだ
こうやって他人に実害を与える人はハッカーでもなんでもない、ただの犯罪者
18. 匿名処理班
※8
つまり君の容姿にクラッキング能力を足せばクラッカーになるってことか
19.
20. 匿名処理班
いやぁ〜〜、ハッカー
21. 匿名処理班
※18
メガネなんかかけないし背も190cmあるからハッカーイメージとは程遠いと思う(´・ω・`)
22. 匿名処理班
「我々は非合法であってもビジネスをしている。ゆえに評判を重んじる」「我々の関心はお金であって、あなたの会社を破壊することではない」と回答している
誰が犯罪者集団の言う事信じるんだよ、こういう所技術はあっても頭悪いな
23. 匿名処理班
※22
他に言いようがないだろ
頭が悪いのはそれが分からないお前
24. 匿名処理班
※21
メガネ無くて身長が190あってもガリガリかブヨブヨの引きこもりにはなれるぞ!
やったね!
25. 匿名処理班
※20
あんたも好きねえ〜〜
26. 匿名処理班
※5
もう起こってる。
徳島県と大阪(しかも災害医療センター)の病院と。
「情報人質 日本 病院」で検索を。
27. 匿名処理班
※22
別に養護する訳じゃないけど、犯罪ビジネスってのは現実に存在するのよ。
元にイギリスのロイズには誘拐保険なんてものがあったりするし。
28. 匿名処理班
※23
一番頭悪いのはそれ真に受けて美化してる奴らだな…ハッカー馬鹿にされるとムキになってアクロバティック擁護し始める
まあ怪盗とか義賊に憧れる精神年齢なんだろうね
あんなの知識や技術を法の枠内で生かせなかった可愛そうな人達よ