2021年11月8日、米国のフィンテック企業 Robinhoodは一部の顧客情報が不正アクセスを受け、事後に同社へ脅迫が行われたことを公表しました。ここでは関連する情報をまとめます。
不正アクセスと脅迫
- 2021年11月3日未明(現地時間)、内部のカスタマーサポートシステムへのアクセス権限が奪取され、同社の顧客情報が窃取された。
- 同社が事態を把握し対応を行った後、攻撃者より身代金の支払いが要求された。具体的な身代金の金額など同社が受けた脅迫の詳細は明らかにされていない。
- 影響を受けた顧客は延べ約700万人。流出した情報はメールアドレスまたは氏名のみが大半を占めるが、その後の調査でこの内の数千人の電話番号、そのほかのテキスト情報も含まれていることが判明している。
- 今回の流出に際して、社会保障番号、銀行口座番号、デビットカード番号は対象項目に含まれていないことから、顧客への金銭的被害の発生はないと同社は判断している。
- 同社の開示情報に明示的な記載はされていないが、「より詳細な情報」が流出したとされる10人においては、身分証明書(ID)が含まれていたことが同社への取材より明らかにされている。IDは規制で義務付けられた本人確認(Know Your Customer)のために用いられていたもので、一部の顧客に対して識別するために画像を収集、保存していたと同社は説明している。*1
カスタマーサポートシステムより流出した顧客情報は次の通り。
| 対象情報 | 該当者数 |
|---|---|
| メールアドレス※ | 約500万人 |
| 氏名(フルネーム)※ | 約200万人 |
| 氏名 生年月日 郵便番号など |
310人 |
| より詳細なアカウント情報 | 10人 |
※ 数千人は電話番号とテキスト情報も対象。
調査は継続中
- 顧客情報への不正アクセスを受け、同社は11月8日の公表時点で第三者による侵害行為に対して封じ込めが済んでいると説明。
- 法執行機関への通報、並びにセキュリティ会社(Mandiant)に依頼も行っており、調査を継続中としている。今後も適切な情報開示を行うとしている。(11月16日時点でアップデートが1回行われている。)
窃取データと主張する販売投稿
- ハッキングフォーラムでは11月10日に同社より窃取した情報を販売するといった投稿が行われた。販売額は少なくとも5桁(恐らく1万ドル以上)を指定していた。
- この投稿では窃取データである確証として、ヘルプデスクシステムや内部のナレッジベース、一部顧客に対して付記された特定メモなどのスクリーンショットとみられる画像が公開された。またこの販売では身分証明書などが一部含まれているとみられる310人の機密情報を含めていないとしている。
- 同社は販売投稿の事実確認を受けた取材に対し、同社内のシステムから盗まれた情報であるかについて直接の言及を避けたが、(恐らく記事への掲載に際して)画像内の一部箇所を編集するよう要求した。
- フォーラムへの販売投稿は「pompompurin」の名前で行われていた。これは同週末に発生したFBIスパムの際、方法説明などのためにBrain Krebs氏にコンタクトをとったアカウントと同名である。
- この販売投稿は現在削除されている。その後も販売に興味を示したスレッドに対しては「もう販売は行わない」と同アカウントが返答をしているが先の投稿でデータ売買が行われたのかは不明である。
サポート部門へのソーシャルエンジニアリング
- 攻撃者はカスタマーサポートへ電話を行い、同社の顧客サポート部門の従業員に対してソーシャルエンジニアリングを行った。その後特定のカスタマーサポートシステムへのアクセス権限を取得した。
- 先の販売投稿を行っていたpompompurinはBleeping Computerに対しどのようにアクセスしたかについて説明したとみられ、従業員を騙しリモートアクセスソフトウエアをインストールさせたと答えている。*2
- その後、カスタマーサポートシステムにアクセスの上データを取得。従業員が顧客情報へアクセスする場面も閲覧できたとしている。データのダウンロードはSendSafelyから行ったと説明した。
更新履歴
- 2021年11月18日 AM 新規作成
*1:7 million Robinhood user email addresses for sale on hacker forum,Bleeping Computer,2021年11月16日
*2:https://twitter.com/BleepinComputer/status/1460300203794313216
