ハッカーからセキュリティに関しての警告を受け、それを無視したところ攻撃された……という、一風変わった事件が6月にアメリカで発生した。
標的になったのは、2008年に創業された大手チケット販売サイト「Ticketfly」。報道によると、ハッカーから「セキュリティの脆弱性がある」と警告され、問題点の解決の手助けをするかわりに1ビットコインを支払うよう申し出があったという。ところが、この指示に対しTicketflyが対応せずにいたところ、サイトが攻撃され、2600万人に及ぶ顧客データが流出してしまったのだ。
流出したのはメールアドレスに加え、ユーザー名、電話番号、住所など。Ticketflyはその後、サービスを復旧し、クレジットカード情報へのアクセスはなかったことが確認できたとしている。専門家の間では、コンテンツ管理に利用していたWordPressの脆弱性を突いたのでは、という意見も上がっているようだ。
商用サイトへのサイバー攻撃によるデータ漏洩事件は、昨今、どの国でも起こりうることだ。企業がハッキングされ、そこから情報が流出した……というニュースを聞くと、「個人にできることなど何もないのでは?」と思ってしまうかもしれないが、対策はできる。
仮にメールアドレスや電話番号が流出したとしても、そこから発生する詐欺を防ぐ手立てはある。サイバー犯罪者は、盗んだメールアドレスのリストをフィッシングメール配信に利用することがある。そのため、メールやSMSが届いても、メッセージが不自然なものではないか、身に覚えのないメッセージではないかを確認するのは基本だ。
あわててすぐにアクションを起こすのではなく、時間を置いてから、再度メッセージを見直してみるのもよい。たとえば、銀行を名乗るフィッシングメールがあったとする。その場合、本当にメールやSMSでメッセージを送る取り組みをしているのか、銀行の問い合わせ先を調べて問い合わせてみるのも有効だろう。
また、漏洩したデータにクレジットカード情報が含まれていたことが明らかな場合は、その商用サイトが企業間で対応を取るので、基本的には自分で動く必要はない。ただ、クレジットカードの利用明細を確認した際に、もし身に覚えのない請求金額があった場合には、速やかにカード会社へ連絡しよう。
決して、Ticketflyの事件は対岸の火事ではない。他山の石として、セキュリティ事件へのリテラシーを高めてほしい。今回はMcAfee Blogの「米チケット販売サイトTicketfly、2600万人の顧客データが流出」を紹介しよう。
米チケット販売サイトTicketfly、2600万人の顧客データが流出
お気に入りのアーティストのライブがあるのでオンラインでチケットを購入したい、そんな時に米国で人気のTicketflyが、ユーザー情報2600万人分の大量データ流出の被害を受けたことを発表し、サイトを一次閉鎖せざるを得ない状況となりました。
Ticketfly 一時閉鎖時のトップページ画面
その後、日本時間の6月7日には再開していますが、実際「Have I Been Pwned(注:やられたかな、との意味)」という、個人情報流出の有無を調べられるサイトの創設者Troy Huntが、Ticketflyのデータベースファイルがハッカーによってパブリッククラウドにあげられているのを発見しています。
攻撃の経緯
この攻撃は、当初Ticketflyに対し、ハッカーから「セキュリティーの脆弱性がある、問題点を指摘し解決の手助けをする代わりにビットコインの”身代金”を支払うように」と要求があり、この脅迫に対しTicketflyが対応を取らないでいたため、次にサイトが攻撃され、同社はサイトを閉鎖せざるを得ない状況に。結果的に顧客データが流出したというものです。
流出データには2600万人ものメールアドレスに加え、ユーザー名、電話番号、住所等が含まれていました。ハッカーは銀行口座やカード情報などについては現時点では公表していませんが、「身代金」を支払わないのであれば、さらにデータを公表すると脅しています。
商用サイトへのサイバー攻撃によるデータ漏洩事件というものは、昨今、どの国でも起こり得ることです。個人情報が表に出て、クレジットカード情報なども含まれていた可能性が否めないような場合、自分のデータをどうしたら確実に護ることができるでしょうか?まずは次のような点から始めましょう。
データ漏洩の対象になった場合に自身の被害を抑えるための3つのポイント
1.怪しげなメールに気をつける
サイバー犯罪者は盗んだメールアドレスのリストをフィッシングメール配信に利用することがあります。どこか怪しげな、または知らないソースからのメールを受信した際は、その中のリンクをクリックしないよう気を付けてください。メール自体を削除してしまう方がいいでしょう。
2.アラートを設定
このハッカーは今のところ銀行口座・クレジットカード情報などは掲載していませんが、まだ入手できていないからだとは限りません。もしあなたがこういった事故の対象であった場合はクレジットカード会社に盗難の連絡をし、新たな、またはここ最近の取引については綿密な調査が行われるようにすることもひとつの手でしょう。もし、漏洩したデータにクレジットカード情報が含まれていたことが明らかな場合は、その商用サイトが企業間で対応を取りますので、基本的には自分で動く必要はありません。
3.明細を確認
その後クレジットカードの利用明細を確認した際に、もし身に覚えのない請求金額があった場合には、速やかにカード会社へ連絡しましょう。気づかないうちに支払ってしまい、数か月も経過した後では保証されない場合もありますので、明細はひととおり確認することをおすすめします。もし郵送の利用明細からオンラインの明細に切り替えをしている場合は、定期的に確認するように気を付けましょう。
※本ページの内容は、2018年6月5日(US時間)更新のMcAfee Blogの内容を一部日本向けに編集しています。
原文:Cybercriminals Steal the Show! 26 Million Ticketfly Customers’ Data Compromised in Massive Breach
著者:Gary Davis
■関連サイト
