2022年 オプタスのデータ侵害
オーストラリアの通信データ侵害

2022年9月、オーストラリアの通信会社オプタスはデータ侵害を受け、オーストラリアの人口の3分の1にあたる最大1,000万人の既存および元顧客が影響を受けた。氏名、生年月日、自宅住所、電話番号、電子メール連絡先、パスポート番号、運転免許証番号などの情報が不正に取得された。侵害の発生経緯については相反する主張がなされた。オプタスはシステムへの複雑な攻撃によるものだと主張したが、オプタスの社内関係者とオーストラリア政府は人為的ミスが同社のAPIに脆弱性を生じさせたと述べた。データのオンライン販売を阻止する見返りに150万豪ドルを要求する身代金要求通知が発行された。数時間後、データ窃盗犯は身代金要求通知を削除し、自らの行為を謝罪した。

クレア・オニール内務サイバーセキュリティ大臣 ビル・ショーテン政府サービス大臣などの政府関係者は、オプタスが攻撃に関与した役割と、政府機関および国民に非協力的だったことを批判した。政府は、将来の侵害の際に政府が対応できるよう、金融サービスおよび政府機関との情報共有を許可することや、重要インフラのセキュリティに関するオーストラリアの法律を改正することなどを含む法案を発表した。[1]データ侵害への対応として、オプタスは侵害されたパスポートの再発行費用を支払うことに同意し、外部機関による調査を委託し、深刻な影響を受けた顧客に信用監視サービスのサブスクリプションを提供した。オプタスはまた、侵害について謝罪した。顧客はオプタスが対応せず、影響を受けた人々への対応が不十分だと批判した。2023年6月現在、侵害の調査と影響を受けた顧客による集団訴訟が進行中である。

背景

オーストラリアの通信会社であるオプタスは、シングテルが所有しており、1981年に政府所有の衛星通信会社AUSSATの設立とともに設立されました。[2] AUSSATは1991年に民営化され、メイン・ニックレスAMPを含むコンソーシアムに売却されました[3] 2022年、オプタスは13.1%の市場シェアでオーストラリア第3位の通信会社でした。[4] 2022年9月、オプタスの顧客数は約1,000万人で、オーストラリアの人口約2,612万人の3分の1以上を占めています。[5] [6]

オプタスは、2015年の電気通信(傍受およびアクセス)改正(データ保持)法に従って、顧客データを6年間保持する必要がありました。[5] [7]

違反

2022年9月20日、オプタスの技術チームは自社ネットワーク上で不審な活動に気づき、調査を行いました。翌日、オプタスのシステムでデータ侵害が発生したことが判明し、規制当局に通報されました。9月22日、同社はデータ侵害を公表し、報道機関にも報告しました。[5] [8]オプタスは、不正行為の可能性に警戒するよう国民に呼びかけましたが、侵害が顧客に被害を及ぼしたかどうかは不明であると述べました。オプタスは、影響を受けた顧客の数やデータ盗難が被害を及ぼしたかどうかについては言及しませんでした。[9]不法に取得された情報には、氏名、生年月日、自宅住所、電話番号、電子メール連絡先、パスポート番号、運転免許証番号などが含まれていました。[5]

身代金要求書のスクリーンショット。
侵入の背後にいると思われる人物が残した身代金要求メモ

9月23日、オプタスは、アプリケーション・プログラミング・インターフェース(API)がインターネットにアクセスできるテストネットワークに誤って公開されたという内部関係者の主張を否定した。同社はまた、複雑な侵入が発生しており、強力なサイバーセキュリティシステムを備えていると述べた。[10]オーストラリア放送協会(ABC)は、オプタスがハッカーが同社の顧客データベースをスクレイピングし、データベースのデータの3分の1がコピー・抽出されたと考えていると伝えられた。[10]

9月24日、刑事捜査を開始したオプタスとオーストラリア連邦警察(AFP)は、漏洩データがオンラインで販売されているという報告を受け、ダークウェブでデータ販売の試みを監視していた。[11]同日、ウェブサイトBreachForumsのユーザーが身代金要求の手紙を投稿した。一部のサイバーセキュリティ専門家は、この手紙が本物だと信じていたが、オプタスとAFPは本物かどうか確認しなかった。この手紙では、オプタスに対し、プライバシー重視の暗号通貨モネロで150万ドルを支払うよう要求し、200人の顧客データのサンプルを提供し、1週間以内にオプタスが身代金を支払わない場合は、毎日1万人の顧客の個人情報を漏らすと書かれていた。1週間が経過すると、犯人はデータを40万豪ドルで欲しい人に売るとされていた。[12]数時間後、ユーザーは元の投稿を削除し、身代金が支払われなかったにもかかわらず、自身の行為について謝罪した。「そもそも公開データをスクレイピングしたのは間違いだった」[12]と述べ、あまりにも多くの人がこの侵害に注目していたと付け加えた。ユーザーは、Optusに連絡を取る手段があれば、使用したエクスプロイトを報告していただろうと述べ、セキュアメール、メッセージング連絡先、バグ報奨金制度が存在しないことを指摘した。[12]

政府の対応

クレア・オニール内務サイバーセキュリティ大臣は、オプタスが今回の攻撃に責任があると述べ、攻撃が複雑だったというオプタスの主張を否定した。また、オニール大臣は、今回の攻撃は起こるべきではなかったと述べ、「セキュリティ侵害の責任はオプタスにある。そして、今回の侵害は、我が国の大手通信事業者が決して想定し得ない性質のものであることを指摘したい」と述べた。[13]

10月6日、連邦政府は、運転免許証、メディケア情報、パスポート番号を金融サービス、連邦政府、州および準州の機関と共有することを一時的に許可する緊急規制を発表した。これは、情報漏洩の影響を受けた顧客の口座における詐欺や不正行為の監視を支援するためである。金融機関は、データを受け取るために、プライバシー義務の遵守や使用済みのデータの削除など、いくつかの措置を講じる必要があった。金融規制当局評議会は、詐欺や不正行為のリスクがある顧客を特定するための金融指示の変更を特定し、報告するよう求められた。これらの変更は12ヶ月間実施された。ジム・チャーマーズ財務大臣は 、これらの措置は顧客を詐欺から守り、不正行為を検出するのに役立つと述べた。[14]

オニール氏は、政府がデータ侵害に介入する能力が不足していること、復旧作業を支援しないこと、そしてオプタスに対し政府サービスへの情報提供を強制できないことに不満を表明した。彼女は、オーストラリアの重要インフラのセキュリティに関する法律では、政府が介入できるのはデータ侵害が発生している間だけであるため、オーストラリアの法律は必要な時に政府を役に立たないと述べた。[15]

この侵害を受けて、銀行がデータ侵害をより迅速に把握し、不正に銀行口座にアクセスするデータの使用を防ぐなど、被害者を詐欺から守るための新たなセキュリティ対策がいくつか発表された。[16]連邦政府は、前政権が導入した17億ドル規模のサイバーセキュリティ計画の見直しを発表し、サイバーセキュリティへの介入権限の強化も盛り込んだ。また、産業界と政府のための基準と義務を定めるサイバーセキュリティ法の制定、そして顧客データとシステムを「重要インフラ」の定義に含め、政府が大規模なデータ侵害に介入できるようにする重要インフラセキュリティ法の改革も検討した。[17]

2023年4月、国家サイバーセキュリティ局が5人の常勤スタッフで設立され、内務省に既に提供されている資金以外の追加資金は提供されなかった。[18] 2023年6月、ダレン・ゴールディ空軍元帥がオーストラリア初のサイバーセキュリティコーディネーターに任命された。[19] 2023年11月、ゴールディは職場の問題で国防省に召還され、サイバーおよびインフラセキュリティ責任者のハミッシュ・ハンスフォードが暫定的にその職に就いた。[20]

2023年2月27日、アンソニー・アルバネーゼ首相 とオニール氏は、データ侵害を受けて、産業界および市民社会団体とのサイバーセキュリティに関する円卓会議を主催した。オーストラリアのサイバーセキュリティ能力の向上における連邦政府の役割に関する討議資料が発表された。[17] [21]

クイーンズランド州ビクトリア州南オーストラリア州西オーストラリア州の各州政府は、この情報漏洩によって運転免許証の番号が漏洩した人々の運転免許証の再発行費用を負担することに合意した。[22] [23]ビクトリア州では、運転免許証に2つ目の番号を追加する計画がすぐに施行され、情報漏洩の被害者全員が、再発行の際に2つ目の番号を受け取り、ビクトリア州民を個人情報盗難から守った。[24]

オプタスの対応

広い中庭から撮影した建物のグループ。
マコーリーパークにあるオプタスの本社。「戦略会議」が置かれていた場所

情報漏洩が発表された日、オプタスはニューサウスウェールズ州マコーリーパークにある本社に「作戦室」を設置した。この作戦室には約150人の従業員が参加し、ニューサウスウェールズ州元首相のグラディス・ベレジクリアン氏と規制・広報担当のアンドリュー・シェリダン氏が指揮を執った。 [25]

オプタスは、デロイトにこの侵害に関する「独立した外部調査」を委託した。[26]また、オニール氏がクエスチョン・タイムでオプタスに対し、顧客向けの信用監視サービスであるEquifax Protectの購入を要請したことを受け、オプタスは「最も影響を受けた」顧客に信用監視サービスEquifax Protectの12ヶ月契約を提供した。[27]オプタスのCEO、ケリー・ベイヤー・ロスマリン氏は、同社を代表してこの攻撃について謝罪した。[28]オプタスは、ハッキングされた身分証明書の交換、Equifax Protectの契約、デロイトによる調査など、この侵害に関連する費用として1億4000万ドルを計上した。[28]オプタスは、不正アクセスされたオーストラリアおよび外国のパスポートの交換費用を支払うことを約束した。[29]

オプタスは、ハッキングにより210万人の顧客の身分証明書が盗まれたと報告した。そのうち120万人の顧客は、個人識別情報から少なくとも1つの有効な番号を盗まれた。残りの90万人の顧客は、期限切れの身分証明書番号を盗まれた。[30]

サービス・オーストラリアはオプタスのコミュニケーション不足を非難した。9月27日、サービス・オーストラリアはオプタスに対し、「メディケアカードやセンターリンク優待カードなど、サービス・オーストラリアの認証情報が漏洩した影響を受けたすべての顧客の詳細を要請する」と書簡を送った。[15] 政府サービス大臣 ビル・ショーテンは1週間後、サービス・オーストラリアはオプタスからいかなるデータも受け取っていないと述べ、オプタスは「サービス・オーストラリアと連絡を取り合っており、影響を受けたすべての顧客に取るべき措置に関するガイダンスを通知する」と述べた。[15]盗難されたメディケアID番号の数についても混乱があった。ショーテンは記者会見で約3万6900件のID番号が盗難されたと述べたが、オプタスは1万4900件のID番号が盗難されたと述べた。[15]

顧客からは、オプタスとのコミュニケーションに問題があったという報告もありました。顧客によると、オプタスはデータ漏洩の対象となった個人情報を確認できなかったとのことです。顧客はオプタスに何度か連絡を取った後、同社のチャットボットが漏洩に関する顧客の質問を理解できず、営業担当者の対応が悪く、オプタスからの返答が全くなく、個人情報漏洩に関する顧客への警告が遅れたと報告しました。ある顧客は、「結局のところ、私たちは個人情報窃盗の格好の標的であり、生年月日、住所、氏名を変更できないため、できることはあまりなく、非常に苛立たしい」と述べています。[27]

2023年3月8日、バイエル・ロスマリンはビジネスサミットで、攻撃が高度であったというオプタスの主張を改めて表明し、「熟練した犯罪者はオプタスのシステムに関する知識を持ち、当社の自動サイバー監視を回避するために数万ものインターネットプロトコルアドレスを試行錯誤した」と述べた。[31]また、彼女はオプタスがハッカーに身代金を支払ったことはなく、侵入の主な理由は他の詐欺目的であったと述べた。[31]

2023年11月、バイエル・ロスマリンはオプタスの障害を受けてオプタスのCEOを辞任した。障害とデータ漏洩のため、彼女への辞任圧力が高まっていた。[32]

2022年10月6日、オーストラリア連邦警察(AFP)は、ロックデールの自宅で、情報漏洩の影響を受けたオプタスの顧客93人を脅迫したとして、シドニー在住の19歳の男性、デニス・スーを逮捕した。スーは、2,000豪ドルを支払わなければ顧客の個人情報を使って金融犯罪を犯すと脅迫したが、誰も支払わなかった。スーは、重大犯罪を犯す意図を持って通信ネットワークを利用した罪と、犯罪を犯す意図を持って身元情報を取り扱った罪で起訴された。AFPのジャスティン・ゴフ副長官は、スーが情報漏洩の犯人であるとは疑われていないと述べ、オプタスを装うリンクをクリックしないよう警告した。[33]スーは2022年11月に有罪を認めた。有罪答弁、年齢、そして自身の行動に対する反省の表明により、刑務所には入らず、18ヶ月の地域矯正命令を受けた。[34]

10月11日、オーストラリア情報コミッショナー事務局(OAIC)は、この侵害、オプタスによる顧客の個人データの取り扱い、オプタスが侵害の影響を受けた消費者を詐欺、不正使用、または紛失から保護するための合理的な措置を講じていたかどうか、そしてオプタスが収集した情報を保管する必要があったかどうかについて調査を開始しました。オーストラリア通信メディア庁(ACMA)も、オプタスの個人データの保護および廃棄義務に焦点を当て、この侵害に関する調査を開始しました。[35]連邦政府は、2022年10月の予算において、2年間にわたる侵害調査のためにOAICに550万ドルを計上しました。[26]

法律事務所スレーター・アンド・ゴードンは、オプタスが「顧客データを適切に保護せず、以前の顧客データを破棄または匿名化しなかったことで、法律および自社のポリシーに違反した」として集団訴訟を起こした。進行中の集団訴訟には、オプタスの現顧客と元顧客10万人が参加し、身分証明書の再発行にかかる時間やそれがもたらしたストレスなど、損失に対する賠償を求めている。オプタスは、自らの行動を擁護すると述べた。[ 36 ] [37]裁判において、スレーター・アンド・ゴードンの弁護士は、データ漏洩の考えられる原因を明らかにする可能性があるとして、デロイトの報告書の公開を求めた。バイエル・ロスマリンが2023年3月に報告書から「主要な推奨事項と教訓」 [38]を共有すると述べたにもかかわらず、オプタスは報告書の公開を拒否した。 [38] [39] 2023年11月、オプタスは報告書の機密保持を求める申し立てに敗訴した。[40]

参照

参考文献

  1. ^ Crozier, Ry (2022年10月1日). 「オーストラリア警察と銀行、漏洩したOptusのデータセットを監視へ」iTnews . 2022年9月30日時点のオリジナルよりアーカイブ2023年10月17日閲覧。
  2. ^ 「オーストラリアの衛星技術の歴史」The Lowdown、2007年6月8日。2007年6月8日時点のオリジナルよりアーカイブ。 2024年1月3日閲覧
  3. ^ グレイ、ジョアン(1991年11月20日)「オプタス、通信事業買収に参入」オーストラリアン・ファイナンシャル・レビュー。 2024年1月3日閲覧
  4. ^ Bradstock, Emma (2022年8月18日). 「オーストラリア最大のインターネットプロバイダー」. Canstar Blue . 2023年6月10日時点のオリジナルよりアーカイブ。 2023年6月10日閲覧
  5. ^ abcd Turnbull, Tiffanie (2022年9月29日). 「Optus: How a massive data breach has revealed Australia」BBCニュース. 2023年5月16日時点のオリジナルよりアーカイブ。 2023年5月16日閲覧
  6. ^ 「全国、州、準州の人口 – 2022年9月」オーストラリア統計局2023年3月16日. 2024年4月3日閲覧
  7. ^ “内務省ウェブサイト”.内務省ウェブサイト. 2025年9月1日時点のオリジナルよりアーカイブ。 2025年10月11日閲覧
  8. ^ Smith, Paul (2022年12月21日). 「オーストラリアを揺るがしたオプタスのハッキング事件の内幕」. Australian Financial Review . 2023年5月20日時点のオリジナルよりアーカイブ2023年5月20日閲覧。
  9. ^ McElroy, Nicholas (2022年9月22日). 「Optus、サイバー攻撃で顧客情報が漏洩したと発表」ABCニュース. 2022年9月23日時点のオリジナルよりアーカイブ。 2023年5月16日閲覧
  10. ^ ab Greene, Andrew (2022年9月23日). 「Optusは、オーストラリア数百万のハッキング被害の要因として「人為的ミス」の可能性を指摘する内部告発を否定」ABCニュース. 2022年9月24日時点のオリジナルよりアーカイブ。 2023年5月16日閲覧
  11. ^ ベロット、ヘンリー (2022年9月24日). 「AFP、盗まれたオプタスのデータがオンラインで販売される可能性があるとの疑惑の中、ダークウェブを監視」ABCニュース. 2023年5月18日時点のオリジナルよりアーカイブ。 2023年5月16日閲覧
  12. ^ abc Maguire, Dannielle (2022年9月27日). 「ハッカー容疑者がオプタスに『心からの謝罪』を申し出た。データ侵害の最新情報はこちら」ABCニュース. 2022年10月3日時点のオリジナルよりアーカイブ。 2023年5月16日閲覧
  13. ^ エヴァンス、ジェイク (2022年9月26日). 「内務大臣、オプタスはサイバー犯罪者にとって『窓を開いたまま』だと語る」ABCニュース. 2022年9月27日時点のオリジナルよりアーカイブ。 2023年5月16日閲覧
  14. ^ エヴァンス、ジェイク (2022年10月6日). 「オプタス、ハッキング後に銀行と侵害データを共有する一時的な権限を付与」ABCニュース. 2022年10月9日時点のオリジナルよりアーカイブ。 2023年5月17日閲覧
  15. ^ abcd Crozier, Ry. 「Services Australia、Optusのデータ侵害へのエクスポージャー測定に苦戦」iTnews . 2023年5月18日時点のオリジナルよりアーカイブ。 2023年5月18日閲覧
  16. ^ Speers, David; Greene, Andrew (2022年9月28日). 「連邦政府、オプタスの大規模データ侵害を受けて新たなセキュリティ対策を発表」ABCニュース. 2023年5月17日時点のオリジナルよりアーカイブ。 2023年5月17日閲覧
  17. ^ ab Evans, Jake (2023年2月26日). 「連邦政府、オプタスとメディバンクのハッキング事件を受けてサイバー法を改正へ」ABCニュース. 2023年5月17日時点のオリジナルよりアーカイブ。 2023年5月17日閲覧
  18. ^ サドラー・デナム「政府、国家サイバーセキュリティ局を発足」『インフォメーション・エイジ』 2024年1月3日閲覧
  19. ^ ACSM Admin (2023年6月23日). 「オーストラリアの新国家サイバーセキュリティコーディネーター - オーストラリアサイバーセキュリティマガジン」 . 2024年1月3日閲覧
  20. ^ Bajkowski, Julian (2023年11月15日). 「オニール氏の国家サイバーセキュリティコーディネーターが国防省に送還」.ザ・マンダリン. 2024年1月3日閲覧
  21. ^ Foster, Jeffrey (2023年2月28日). 「オーストラリアは新たなサイバーセキュリティアジェンダを策定。その中心には2つの重要な疑問がある」The Conversation . 2023年5月19日時点のオリジナルよりアーカイブ。 2023年5月19日閲覧
  22. ^ Yosufzai, Rashida; Bahr, Jessica (2022年9月27日). 「Optusのデータ漏洩:運転免許証とパスポートの交換についてどうすべきか」SBSニュース. 2023年5月20日時点のオリジナルよりアーカイブ。 2023年5月20日閲覧
  23. ^ Cowie, Tom (2022年10月29日). 「VicRoads、Optusハッキング事件後、ほぼ100万枚の無料運転免許証を発行へ」The Age . 2023年5月20日時点のオリジナルよりアーカイブ。 2023年5月20日閲覧
  24. ^ Cowie, Tom (2022年10月29日). 「VicRoads、Optusハッキング事件後、ほぼ100万枚の無料運転免許証を発行へ」The Age . 2023年6月3日時点のオリジナルよりアーカイブ。 2023年6月15日閲覧
  25. ^ Smith, Paul (2022年12月21日). 「オーストラリアを揺るがしたオプタスのハッキング事件の内幕」. Australian Financial Review . 2023年5月20日時点のオリジナルよりアーカイブ2023年5月20日閲覧。
  26. ^ ab Branco, Jorge (2022年10月26日). 「プライバシー監視機関、オプタスのサイバー侵害調査に550万ドル支給」www.9news.com.au . 2023年5月18日時点のオリジナルよりアーカイブ。 2023年5月18日閲覧
  27. ^ ab Taylor, Josh (2022年9月26日). 「データ侵害後のチャットボットと『くだらない』コミュニケーションにOptusの顧客が憤慨」. The Guardian . ISSN  0261-3077. 2023年5月18日時点のオリジナルよりアーカイブ。 2023年5月18日閲覧
  28. ^ ab Samios, Zoe (2022年11月10日). 「Optusのハッキング、少なくとも1億4000万ドルの損害」.シドニー・モーニング・ヘラルド. 2022年11月13日時点のオリジナルよりアーカイブ。 2023年5月18日閲覧
  29. ^ Conifer, Dan; Xiao, Alison; Bogle, Ariel (2022年11月3日). 「Optus、データ漏洩で不正アクセスされた外国パスポートの交換費用を負担することを約束」ABCニュース. 2022年11月3日時点のオリジナルよりアーカイブ。 2023年5月20日閲覧
  30. ^ Crozier, Ry. 「Deloitte、Optusのデータ侵害を調査へ」iTnews . 2023年5月18日時点のオリジナルよりアーカイブ。 2023年5月18日閲覧
  31. ^ ab Muroi, Millie (2023年3月8日). 「Optusの社長、サイバー攻撃の背後に「熟練した犯罪者」がいたと発言、通信会社が顧客を失ったことを認める」シドニー・モーニング・ヘラルド. 2023年5月20日時点のオリジナルよりアーカイブ。 2023年5月20日閲覧
  32. ^ スワン、デイビッド(2023年11月20日)「オプタスCEOケリー・ベイヤー・ロスマリンが辞任」シドニー・モーニング・ヘラルド。 2024年1月3日閲覧
  33. ^ Lapham, Jake (2022年10月6日). 「シドニーの10代の少年、データ漏洩詐欺の一環としてオプタスの顧客に2,000ドルを要求、AFP通信」ABCニュース. 2022年10月6日時点のオリジナルよりアーカイブ。 2023年5月17日閲覧
  34. ^ Guelas, Joanna (2023年2月7日). 「Sydney man avoids jail over scam texts using Optus hack data」. www.9news.com.au . 2023年5月20日時点のオリジナルよりアーカイブ2023年5月20日閲覧。
  35. ^ Borys, Stephanie (2022年10月11日). 「Optus、データハッキングをめぐり新たな調査に直面、数百万ドルの賠償金支払いを余儀なくされる可能性」ABCニュース. 2022年10月13日時点のオリジナルよりアーカイブ。 2023年5月17日閲覧
  36. ^ Jackson, Lewis (2023年4月21日). Osterman, Cynthia (編). 「オーストラリアのOptus、サイバーセキュリティ侵害で集団訴訟起こされる」.ロイター. 2023年5月17日時点のオリジナルよりアーカイブ。 2023年5月17日閲覧
  37. ^ ボニハディ、ニック、アボット、ラクラン(2023年4月20日)「壊滅的なハッキングの後、オプタスに対して集団訴訟が提起される」シドニー・モーニング・ヘラルド。2023年5月20日時点のオリジナルよりアーカイブ。 2023年5月20日閲覧
  38. ^ ab Baird, Lucas (2023年3月8日). 「Optusのデータハッキングに『被害者なし』:CEO」. Australian Financial Review . 2023年10月4日閲覧
  39. ^ Tarabay, Jamie (2023年9月20日). 「大規模なオーストラリアのランサムウェア攻撃、被害者は回答を求める」Bloomberg.com . 2023年10月4日閲覧
  40. ^ テイラー、ジョシュ(2023年11月10日)「オプタス、2022年のサイバー攻撃原因に関する報告書の秘密保持を求める裁判で敗訴」ガーディアン紙ISSN  0261-3077 . 2024年3月7日閲覧
「https://en.wikipedia.org/w/index.php?title=2022_Optus_data_breach&oldid=1330279214」より取得