オーストラリアで2番目に大きいインターネットサービスプロバイダー(ISP)が、数十万件の顧客に影響を及ぼす大規模なデータ侵害を明らかにしました。
親会社であるTPGテレコムは、本日オーストラリア証券取引所にこのインシデントを通知しました。同社によると、「不明な第三者」が子会社iiNetの注文管理システムに不正アクセスし、土曜日にこの侵害が発見されたとのことです。
「2025年8月16日(土)にインシデントが確認された時点で、当社はインシデント対応計画を実施し、システムへの不正アクセスを遮断しました。TPGテレコムは、インシデント対応のために外部のITおよびサイバーセキュリティ専門家を招集しています」と書簡には記載されています。
「現時点では、不正アクセスはiiNetの注文管理システムに限定されているようです。初期調査によると、従業員のアカウント認証情報が盗まれ、それを使って不正アクセスが行われた可能性が高いと見られます。」
オーストラリアのデータ侵害について詳しく読む:Optus、約210万人分のデータ流出を認める
TPGテレコムは、注文管理システムには顧客の「限定的な」個人情報しか含まれておらず、本人確認書類やクレジットカード、その他の金融情報は漏洩していないと主張しています。
しかし、不正な第三者が以下の情報を入手したことは認めています:
- 28万件の有効なiiNetメールアドレス
- 2万件の有効なiiNet固定電話番号
- 1万件のiiNetユーザー名、住所、電話番号
- 1700件のモデム設定用パスワード
- 不特定数の「無効な」メールアドレスおよび固定電話番号
この通信大手は、オーストラリアサイバーセキュリティセンター(ACSC)、国家サイバーセキュリティ局(NOCS)、オーストラリア信号局(ASD)、オーストラリア情報コミッショナー事務所(OAIC)など、関係当局に連絡したと述べています。
iiNet従業員の認証情報がどのようにして取得されたのかは明らかになっていませんが、情報窃取型マルウェア(インフォスティーラー)は増大する脅威です。最近の調査によると、2021年から2025年の間に3万人以上のオーストラリア人の銀行ログイン情報がインフォスティーラーマルウェアによって盗まれたとされています。
オーストラリア政府は、2022年以降相次いだデータ侵害事件を受け、国内全体のサイバーセキュリティ基準の向上に取り組んでいます。
まず2023年から2030年にかけてのオーストラリア・サイバーセキュリティ戦略が策定され、2030年までにオーストラリアを「サイバー分野で世界のリーダー」にするためのロードマップが示されました。続いて2024年には、サイバーセキュリティ法が可決され、オーストラリア初の独立したサイバーセキュリティ関連法となりました。
翻訳元: https://www.infosecurity-magazine.com/news/aussie-isp-iinet-breach-280000/