テクノロジー

2018.11.09 17:00

カナダで大麻購入者の個人情報が大量流出、脅迫犯罪の懸念も

613rd420th / Shutterstock.com

10月17日に嗜好用大麻が解禁されたばかりのカナダのオンタリオ州で、政府公認の大麻販売店から数千件もの個人情報の流出が起きた。「オンタリオ・カンナビス・ストア(OCS)」は、カナダ政府が大麻を解禁して以来、初の個人情報流出を起こした販売店となった。

OCSは既に約4500名の顧客らにコンタクトをとり、購入者の住所がダークウェブ上で公開されていることを伝えている。これらの情報はOCSが配送を依頼した、カナダ郵便公社のデータベースが11月1日にハッキングされて流出した。

OCSの広報担当者は声明で「カナダ郵便公社と緊密な連携をとり、原因の究明に当たり、これ以上の顧客情報の流出を防ぐ対策をとった」と述べた。

ダークウェブ上で販売されているデータには、住所やカナダ郵便公社のトラッキングナンバー、配達日や受け取り人のサインの名義などが含まれている。決済に関わるデータは含まれていないが、たとえイニシャルのみであったとしても、サインが含まれている点は、非常に重大なことだ。

これらのデータは今後、恐喝などの犯罪に用いられる可能性がある。OCSは被害にあった顧客らにEメールを送信しており、メールを受け取っていない顧客らは被害を受けていないという。

カナダ郵便公社は独自に発表した声明で「これ以上の情報流出を防ぐ措置を、既に講じている」と述べた。セキュリティ企業Darktrace IndustrialのAndrew Tsonchevは筆者の取材に対し、「流出したデータはOCSの顧客のものだけであり、ハッカーが大麻の購入者のデータをターゲットとしたことは明らかだ」と述べた。

仮に顧客のフルネームをハッカーが入手していたとしたら、彼らはそれをネタに金を脅し取ろうとするかもしれない。Tsonchevによると、配達の追跡を行うアプリなどは、ハッカーの標的になりやすいという。

別のセキュリティ企業RepKnightの担当者は「サプライチェーンを通じた個人情報流出は、近年増加しており、ハッキング被害の63%が配送の委託先企業で発生している」と述べた。

今回の件で責められるべきは大麻販売店ではなく、カナダ郵便公社なのかもしれない。しかし、コンプライアンス企業IT Governance創業者のAlan Calderは、「外部に配送を委託する企業は、責任を持って委託先のセキュリティ状況の監査を行うべきだ。多くの企業が十分な審査プロセスを経ずに、外部に配送を委託している」と述べた。

編集=上田裕資

タグ:

ForbesBrandVoice

人気記事