ビジネス

2020.07.15

米MGMリゾーツの1.4億人の顧客データが流出、闇サイトで販売

Photo by Thomas Haas on Unsplash

米国ラスベガス本拠のMGMリゾーツは、昨年夏にハッキング被害に遭い顧客データを流出させていた。この事件は、今年2月にハッカーらが1060万人の顧客データの無料配布を開始したことで発覚していた。

しかし、実際に奪われた顧客データの数は、当時報じられていた数の14倍にも及ぶことが明らかになった。

7月14日のZD Netの記事によると、ハッカーらは先週末から盗み出したファイルの販売を地下フォーラムで開始しており、そこには1億4200万人分の顧客データが収められているという。サイバー犯罪者らはファイルの対価として約3000ドル相当の暗号通貨を求めている模様だ。

MGMリゾーツはZD Netの取材にコメントを寄こし、「当社は既に報道済みの昨年夏の事件について認識しており、適切な対処を行った」と述べた。

データの売り手は、2019年のハッキング事件の全容はまだ報じられていないと述べており、MGMグランドホテルのデータも入手済みだとしている。

盗まれたファイルには、顧客の氏名やEメールアドレス、住所、電話番号、誕生日などが収められていた模様だ。ただし、クレジットカードのデータは含まれておらず、これは「カード情報やパスワードなどは奪われていない」との事件の発覚当時のMGMの声明と一致している。

しかし、カード情報が盗まれていないとしても、事の重大さは変わらない。地下のフォーラムで販売中のデータは、サイバー犯罪者たちがなんとしてでも手に入れたい種類のものだ。

詳細な個人データはフィッシング詐欺を行う場合に非常に有用だ。サイバー犯罪者は高度にターゲティングされた詐欺メールを送りつけ、他人のコンピュータネットワークに侵入する。内部に入り込んだハッカーらは、さらに次の獲物を狙うことになる。

さらに、電話番号データの流出で起こり得る新たなリスクが、近年急増する「SIMスワップ詐欺」と呼ばれる犯罪だ。詐欺犯たちは携帯キャリアを騙して、自分の携帯端末に被害者の電話番号を紐付ける。そして、SMSを受け取って2段階認証を突破し、被害者のアカウントから金を盗み取るのだ。

2015年には15歳の少年が個人投資家の仮想通貨アカウントを不正に操作し、2400万ドル相当の仮想通貨を盗んでいた。

編集=上田裕資

ForbesBrandVoice

人気記事