カナダで2つの銀行にハッキングを行い数万人分の顧客の個人情報を盗んだハッカーは、銀行がリップル(XRP)で100万ドルを支払わなければそのデータをオンラインで公開すると脅迫しています。
被害者は9万人以上
地元のメディアは、モントリオール銀行(BMO)とSimplii金融がハッカーに対して90,000人以上の顧客に関する機密性の高い個人情報や財務情報へのアクセスを許してしまったことを報じています。
盗まれた情報には、名前、パスワード、口座番号、セキュリティに関する質問と回答、口座残高、社会保険番号が含まれています。
加害者によって送信された電子メールには、ハッカーが身代金のためにそのデータを保持しており、銀行が彼らに仮想通貨リップル(XRP)で100万ドル(約1億862万円)を送金しなければ、オンラインでそれらの情報を公開するという脅迫文が記載されています。
ロシアから送られたと見られているこの電子メールには、BMOとSimpliiに「2018年5月28日の午後11時59分までに支払いを行わなければ、90,000人も残っている顧客情報を不正行為のフォーラムや不正なコミュニティで共有する」と警告しています。
銀行のセキュリティーに問題が?
ハッカーたちは、アカウント番号を生成するためのアルゴリズムを使用し、パスワードを忘れてしまった顧客として振る舞うことで銀行のサブ・セキュリティを破ることができたとメールで説明しています。
「彼らは、半分認証されたアカウントに多くの許可を与えていたため、これらの情報をすべて取得することができた」
「同システムは、セキュリティに関する質問が正しく入力されるまでパスワードが有効かどうかを確認していなかった」
攻撃者からのメールには、銀行のセキュリティプロトコルを迂回したことを証明するために、各銀行の顧客データセットの例も含まれていました。
身代金を支払うつもりはない
身代金の提出期限は2018年5月28日の午後11時59分とされていたため、すでに期限は過ぎています。
銀行側は身代金を払ってはいませんが、ハッカーがウェブ上に顧客データを公開したかどうかは不明と報じられています。
いずれにせよ、対象となった機関は身代金を支払うつもりはないとみられています。
モントリオール銀行は声明の中で「弊社の慣習は詐欺師に支払いを行うことではない」と述べており、「私たちは顧客の保護と支援に注力しています」と語っています。
仮想通貨の資産管理だけでなく、銀行における資産管理においても、適切なセキュリティ対策を行うことが重要であることは間違いないでしょう。