Checkout.com、ハッキング攻撃に対応:身代金を拒否しセキュリティ研究に寄付
(checkout.com)- 決済プラットフォーム Checkout.com はサイバー犯罪組織による 恐喝の試み を受けたが、身代金の支払いを拒否 し、代わりにその金額を サイバーセキュリティ研究に寄付
- 攻撃者は2020年以前に使用されていた レガシーなサードパーティ製クラウドファイルストレージシステム に不正アクセスし、一部データを取得
- Checkout.com は 決済処理プラットフォーム、加盟店資金、カード情報には一切影響がなかった と明言
- 会社は 全加盟店の25%未満 が影響を受ける可能性があると見積もっており、法執行機関および規制当局と協力 している
- Carnegie Mellon University と University of Oxford Cyber Security Center に寄付を行い、透明性と信頼を業界の中核的価値 として再確認
事件の概要
- Checkout.com は先週、「ShinyHunters」という犯罪組織 から連絡を受け、同組織はCheckout.com関連のデータを入手したと主張して 身代金を要求 した
- 調査の結果、攻撃者は 2020年以前に使用されていたサードパーティ製クラウドファイルストレージシステム に不正アクセスしたことが確認された
- 当該システムは 社内運用ドキュメントと加盟店オンボーディング資料 の保存に使用されていた
- Checkout.com は、このシステムが 適切に廃棄されていなかったことをミスとして認めた
- 会社は、この事件が 決済処理プラットフォームには影響しておらず、攻撃者は 加盟店資金やカード番号にアクセスできなかった と明言した
影響と対応措置
- Checkout.com は 現在の加盟店の25%未満 が影響を受けると推定している
- 会社は 影響を受けた加盟店の特定および個別連絡の手続き を進めており、法執行機関および関連する規制当局と協力 している
- Checkout.com は 透明性と説明責任 を強調し、パートナーと顧客に対して 信頼維持への意思 を示した
身代金拒否と寄付の決定
- Checkout.com は 犯罪者に身代金を支払わないと宣言 した
- その代わり、攻撃で要求された金額を Carnegie Mellon University と University of Oxford Cyber Security Center に サイバー犯罪研究支援金として寄付 した
- 会社は今回の事件を 業界全体のセキュリティ投資の契機へと転換 すると明らかにした
企業の立場と約束
- Checkout.com は「セキュリティ、透明性、信頼 が業界の基盤」だとし、ミスを認めて加盟店を保護する と述べた
- 会社は デジタル経済を脅かす犯罪行為に立ち向かうための投資 を行うと強調した
- 加盟店は 従来のCheckoutの連絡窓口を通じて支援を要請可能
結論
- Checkout.com は今回の事件を通じて サイバー恐喝に対する断固たる対応姿勢 を示し、
セキュリティ研究への寄付を通じて業界全体の防御力強化を図っている - 会社は 透明性ある開示と責任ある措置 を通じて 加盟店の信頼回復 に注力している
1件のコメント
Hacker Newsのコメント
数年前、ShinyHuntersのメンバーがFBIに逮捕されたことがあった。
私はそのうちの1人であるSebastian Raoultと同じ刑務所にいて、かなり多くの会話をした。
彼らが大規模なフィッシング攻撃のために見せた執念深さは驚くほどだった。ほとんどのアクセス権限をその方法で手に入れ、それ以外ではGitHubでAPIエンドポイントを見つけて漏えいしたキーを探していた。
彼はGitHubの自動スキャナーをあまり気に入っていなかった。
関連記事: 米司法省のプレスリリース
だから、彼らがソーシャルエンジニアリングでアクセス権を得たとしても驚きではない。
興味深いのは、彼ら自身もソーシャルエンジニアリングの被害者かもしれないという点だ。オンラインゲーム向けのエクスプロイトを作って若いハッカーを誘い込む人たちは、結局はより安全に金を稼げる構造を作っている
違法ホスティングを使っていたのか、それとも決済プロバイダー経由で追跡されたのか気になる。
そのサイトがSportsurgeのように単にリンクだけを提供していたのか、実際にストリームをホスティングしていたのかも知りたい
会社の謝罪文の中の
本当の謝罪より大事なのは根本原因分析と再発防止策だ。
顧客データを扱う旧式のシステムがあとどれだけあったのか、予算を誰が止めていたのかを明らかにしてこそ信頼を取り戻せる。
真の謝罪は言葉ではなく補償で示されるべきだ
私が顧客なら腹を立てていただろうが、今回の対応は可能な限り最善の形だったと思う。
法的責任、返金、規制強化が並行して進むべきだ。
透明性のために監査結果とポストモーテムもあわせて公開してほしい
寄付は、実質的なセキュリティ改善というより見せかけのアピールに感じられる。
既に知られているセキュリティの基本を守るほうが重要だ。その金でセキュリティ担当者の採用やシステム強化に投資すべきだった。
(参考: ハッキングは廃止されていないレガシーシステムで発生した)
単なる美徳アピールではなく、**「身代金要求には屈しない」**というシグナルとして読める。
身代金を払っていたら、むしろさらに多くの攻撃を誘発していただろう。
金を失うとしても、価値のある方向に使う選択は賢明だ。
犯罪者に資金を与える副作用はあるが、支払わなければ顧客の被害がさらに大きくなる可能性もある
「攻撃者はサードパーティのクラウドストレージシステムを通じてアクセスした」という表現は、やや責任回避のように感じる。
こういう事件が起きても、1週間ほど笑いものになって終わる。結局、根本的な変化はほとんどない
こうした公開対応と寄付は勇気ある決定だと思う。
完璧なセキュリティは不可能で、まだポストモーテムが出る前なので軽々しく非難しにくい。
隠さず公開した点と、学術界への寄付による公益的アプローチは高く評価する。
「内部運用文書と加盟店オンボーディング資料に使われたシステム」という文言を見ると、おそらくKYCプロセスで収集された文書である可能性が高い。
つまり、会社の書類やパスポート・身分証のスキャンなどが含まれている可能性がある。
こうしたデータはなりすましのリスクが大きく、何年も有効であり得る。
GDPR以降、この種の機微データは別のセキュアな領域に保管される。
おそらく単にオンボーディングチームが使っていたPDFやアンケート文書の保管場所だった可能性が高い
「影響を受けたのは顧客の25%未満」だとしても、自分がその中に含まれていたら、補償のないジェスチャーでは納得しにくい
「OXCIS」はOxford Centre for Islamic Studiesを指すので、そちらではなさそうだ。
実際の寄付先はオックスフォード大学のサイバーセキュリティ研究センターだと思われる。
フィンテック業界で働いていた経験からすると、今回流出したのは加盟店のKYB文書だと思われる。
これは事業者リスク評価用の資料で、決済情報やPANほど機微ではない。
もちろんハッキングは悪いことだが、この種のデータは公開情報である場合も多い。
会社がこれを透明に公開した点は高く評価する。
したがって、富裕層を狙ったなりすましのリスクも存在する