1 ポイント 投稿者 GN⁺ 2025-11-14 | 1件のコメント | WhatsAppで共有
  • 決済プラットフォーム Checkout.com はサイバー犯罪組織による 恐喝の試み を受けたが、身代金の支払いを拒否 し、代わりにその金額を サイバーセキュリティ研究に寄付
  • 攻撃者は2020年以前に使用されていた レガシーなサードパーティ製クラウドファイルストレージシステム に不正アクセスし、一部データを取得
  • Checkout.com は 決済処理プラットフォーム、加盟店資金、カード情報には一切影響がなかった と明言
  • 会社は 全加盟店の25%未満 が影響を受ける可能性があると見積もっており、法執行機関および規制当局と協力 している
  • Carnegie Mellon UniversityUniversity of Oxford Cyber Security Center に寄付を行い、透明性と信頼を業界の中核的価値 として再確認

事件の概要

  • Checkout.com は先週、「ShinyHunters」という犯罪組織 から連絡を受け、同組織はCheckout.com関連のデータを入手したと主張して 身代金を要求 した
  • 調査の結果、攻撃者は 2020年以前に使用されていたサードパーティ製クラウドファイルストレージシステム に不正アクセスしたことが確認された
    • 当該システムは 社内運用ドキュメントと加盟店オンボーディング資料 の保存に使用されていた
    • Checkout.com は、このシステムが 適切に廃棄されていなかったことをミスとして認めた
  • 会社は、この事件が 決済処理プラットフォームには影響しておらず、攻撃者は 加盟店資金やカード番号にアクセスできなかった と明言した

影響と対応措置

  • Checkout.com は 現在の加盟店の25%未満 が影響を受けると推定している
  • 会社は 影響を受けた加盟店の特定および個別連絡の手続き を進めており、法執行機関および関連する規制当局と協力 している
  • Checkout.com は 透明性と説明責任 を強調し、パートナーと顧客に対して 信頼維持への意思 を示した

身代金拒否と寄付の決定

  • Checkout.com は 犯罪者に身代金を支払わないと宣言 した
  • その代わり、攻撃で要求された金額を Carnegie Mellon UniversityUniversity of Oxford Cyber Security Centerサイバー犯罪研究支援金として寄付 した
  • 会社は今回の事件を 業界全体のセキュリティ投資の契機へと転換 すると明らかにした

企業の立場と約束

  • Checkout.com は「セキュリティ、透明性、信頼 が業界の基盤」だとし、ミスを認めて加盟店を保護する と述べた
  • 会社は デジタル経済を脅かす犯罪行為に立ち向かうための投資 を行うと強調した
  • 加盟店は 従来のCheckoutの連絡窓口を通じて支援を要請可能

結論

  • Checkout.com は今回の事件を通じて サイバー恐喝に対する断固たる対応姿勢 を示し、
    セキュリティ研究への寄付を通じて業界全体の防御力強化を図っている
  • 会社は 透明性ある開示と責任ある措置 を通じて 加盟店の信頼回復 に注力している

1件のコメント

 
GN⁺ 2025-11-14
Hacker Newsのコメント
  • 数年前、ShinyHuntersのメンバーがFBIに逮捕されたことがあった。
    私はそのうちの1人であるSebastian Raoultと同じ刑務所にいて、かなり多くの会話をした。
    彼らが大規模なフィッシング攻撃のために見せた執念深さは驚くほどだった。ほとんどのアクセス権限をその方法で手に入れ、それ以外ではGitHubでAPIエンドポイントを見つけて漏えいしたキーを探していた。
    彼はGitHubの自動スキャナーをあまり気に入っていなかった。
    関連記事: 米司法省のプレスリリース

    • 一般にサイバーセキュリティでは、人間が最も弱い輪になることが多い。
      だから、彼らがソーシャルエンジニアリングでアクセス権を得たとしても驚きではない。
      興味深いのは、彼ら自身もソーシャルエンジニアリングの被害者かもしれないという点だ。オンラインゲーム向けのエクスプロイトを作って若いハッカーを誘い込む人たちは、結局はより安全に金を稼げる構造を作っている
    • スポーツ配信サイトの運営で連邦刑務所に入ったとは気の毒だ。
      違法ホスティングを使っていたのか、それとも決済プロバイダー経由で追跡されたのか気になる。
      そのサイトがSportsurgeのように単にリンクだけを提供していたのか、実際にストリームをホスティングしていたのかも知りたい
    • GitHubスキャナーを嫌っていたというのは、そのスキャナーがあまりに効果的で活動を妨げていたからなのか、それとも無能だと思っていたからなのか気になる
    • 「大規模フィッシングのための執念深さが驚きだ」という言葉が、具体的にどういう意味なのか説明を聞きたい
  • 会社の謝罪文の中の

    “We are sorry. We regret that this incident has caused worry for our partners and people...”
    この部分が本当に気に入った。LLMやPRチームが書いたとしても、誠意が感じられる文章だった。

    • こういう謝罪文を見ると、いつもSouth ParkのBPパロディの場面を思い出す。
      本当の謝罪より大事なのは根本原因分析と再発防止策だ。
      顧客データを扱う旧式のシステムがあとどれだけあったのか、予算を誰が止めていたのかを明らかにしてこそ信頼を取り戻せる。
      真の謝罪は言葉ではなく補償で示されるべきだ
    • “We are sorry.”という言葉は、企業がほとんど言わない珍しい表現なので新鮮に感じる。
    • “We are fully committed to maintaining your trust.”の代わりに「rebuilding your trust」のほうが適切だと思う。
    • 「犯人逮捕につながる情報提供者に50万ドルを支払う」のような強硬な対応のほうが、かえって信頼につながるかもしれない。
    • “due to an abundance of caution”のような決まり文句がなくてよかった。全体として模範的な対応に見える
  • 私が顧客なら腹を立てていただろうが、今回の対応は可能な限り最善の形だったと思う。

    • 迅速な対応、会社による自発的な公開、誠意ある謝罪、被害範囲の説明など、ほとんどの基準を満たしていた。
    • ただし「申し訳ない」で終わらせるなら、業界はもっと大きな災厄を迎えることになる。
      法的責任返金規制強化が並行して進むべきだ。
    • 「迅速な対応」とはいうが、ハッキングを自力で発見できず、攻撃者が先に連絡してきてから公開したのだから、本当に迅速だったのか疑問だ。
    • 顧客の立場では、「データ流出防止のために身代金を支払った」という選択のほうがよかった可能性もある。
      透明性のために監査結果とポストモーテムもあわせて公開してほしい
  • 寄付は、実質的なセキュリティ改善というより見せかけのアピールに感じられる。
    既に知られているセキュリティの基本を守るほうが重要だ。その金でセキュリティ担当者の採用やシステム強化に投資すべきだった。
    (参考: ハッキングは廃止されていないレガシーシステムで発生した)

    • 私はこの寄付を犯罪者への挑発と見る。「金はあるが、お前たちには払わない」というメッセージだ。
      単なる美徳アピールではなく、**「身代金要求には屈しない」**というシグナルとして読める。
    • それでも、こういう状況で善いシグナルを送ることは悪くない。
      身代金を払っていたら、むしろさらに多くの攻撃を誘発していただろう。
      金を失うとしても、価値のある方向に使う選択は賢明だ。
    • 今の時点では、むしろ美徳アピールのほうが悪徳アピールよりましだと思う。
    • ‘Virtue signaling’はしばしば偽善的な行動を批判するときに使われるが、今回のように犯罪者と交渉せず、セキュリティ研究を支援する姿勢は長期的には正しい方向だ。
    • それでも顧客の立場では、身代金を支払うほうが被害を減らせる結果になるかもしれない。
      犯罪者に資金を与える副作用はあるが、支払わなければ顧客の被害がさらに大きくなる可能性もある
  • 「攻撃者はサードパーティのクラウドストレージシステムを通じてアクセスした」という表現は、やや責任回避のように感じる。

    • 攻撃者が機密データまで手に入れていたなら、会社の対応がどれほど変わっていたのか気になる。
    • ほとんどの会社のコードベースはいまだにレガシー技術だらけだ。
      こういう事件が起きても、1週間ほど笑いものになって終わる。結局、根本的な変化はほとんどない
  • こうした公開対応と寄付は勇気ある決定だと思う。
    完璧なセキュリティは不可能で、まだポストモーテムが出る前なので軽々しく非難しにくい。
    隠さず公開した点と、学術界への寄付による公益的アプローチは高く評価する。

    • Hacker Newsでは、シニカルな態度が一種の知的優越感のように見なされる傾向がある
  • 「内部運用文書と加盟店オンボーディング資料に使われたシステム」という文言を見ると、おそらくKYCプロセスで収集された文書である可能性が高い。
    つまり、会社の書類やパスポート・身分証のスキャンなどが含まれている可能性がある。
    こうしたデータはなりすましのリスクが大きく、何年も有効であり得る。

    • ただし、パスポートのスキャンが一般的なKYB文書と一緒に保存されていた可能性は低い。
      GDPR以降、この種の機微データは別のセキュアな領域に保管される。
      おそらく単にオンボーディングチームが使っていたPDFやアンケート文書の保管場所だった可能性が高い
  • 「影響を受けたのは顧客の25%未満」だとしても、自分がその中に含まれていたら、補償のないジェスチャーでは納得しにくい

  • 「OXCIS」はOxford Centre for Islamic Studiesを指すので、そちらではなさそうだ。
    実際の寄付先はオックスフォード大学のサイバーセキュリティ研究センターだと思われる。

    • Cyber Security Oxfordは、オックスフォード大学傘下のサイバーセキュリティ研究コミュニティ
  • フィンテック業界で働いていた経験からすると、今回流出したのは加盟店のKYB文書だと思われる。
    これは事業者リスク評価用の資料で、決済情報やPANほど機微ではない。
    もちろんハッキングは悪いことだが、この種のデータは公開情報である場合も多い。
    会社がこれを透明に公開した点は高く評価する。

    • ただしKYB文書にはしばしば最終受益者や取締役のパスポート、納税者番号などが含まれる。
      したがって、富裕層を狙ったなりすましのリスクも存在する