オンライン株取引プラットフォームのRobinhood(ロビンフッド)は、先週ハッキングされ、500万件以上の顧客のメールアドレスと200万件以上の顧客名、さらにそれよりも少数の一部のユーザーに関してはより詳細な顧客データが盗まれたことを確認した。
同社のブログによると、米国時間11月3日に悪意のあるハッカーが電話で顧客サービス担当者に対しソーシャルエンジニアリングを使い、顧客サポートシステムにアクセスしたとのこと。その結果、ハッカーは数百万人の顧客の名前とメールアドレスに加えて、310人の顧客のフルネーム、生年月日、郵便番号を入手することに成功した。Robinhoodによると、10人の顧客については「より広範なアカウント詳細が漏洩した」という。社会保障番号、銀行口座番号、デビットカード番号は流出しておらず、それらの顧客に直接的な経済的損失は発生していないが、Robinhoodは具体的にどのような情報だったかは述べていない。
しかし、そうした個人情報は、悪意のあるハッカーが被害者にさらなる攻撃を仕掛けることを容易にする。例えば、名前と生年月日は、しばしばユーザーの身元を確認するために使用することができるため、ターゲティングされたフィッシングメールなどで使われる。
Robinhoodがシステムを保護した後、ハッカーは「身代金の支払いを要求した」と同社は述べている。Robinhoodは代わりに法執行機関とセキュリティ会社のMandiantに通知し、侵害の調査を依頼した。
これは、2020年7月にTwitter(ツイッター)がハッキングされたときと同様の侵害だ。当時10代だったハッカーがソーシャルエンジニアリング技術を使って、Twitterの一部の従業員を騙し、ハッカーを従業員と思わせて、Twitter内部の「管理者」ツールへのアクセスを許し、彼はそのツールを使って知名度の高いアカウントを乗っ取り、暗号資産詐欺を広めた。この攻撃により、ハッカーは10万ドル(約1130万円)強の暗号資産を手に入れた。Twitterはその余波を受けて、スタッフにセキュリティキーを配布し、今後この種の手口が通用しないよう、攻撃に対する防御を強化した。
ハッカーがRobinhoodの顧客サービス担当者を騙して内部システムへのアクセスを許可したセキュリティ管理の不備は、同社の調査の焦点となりそうだ。
画像クレジット:Andrew Harrer/Bloomberg / Getty Images
[原文へ]
(文:Zack Whittaker、翻訳:Aya Nakazato)