コンテンツにスキップするには Enter キーを押してください

オレンジ社のデータ漏洩、SIMスワッピング攻撃への懸念を引き起こす

投稿日 2025年8月21日

脅威アクターがOrange Belgiumの顧客アカウント85万件を侵害し、SIMカード番号やパーソナルアンブロッキングキー(PUK)コードなどのデータが不正にアクセスされた可能性があります。

この攻撃により、被害者を標的としたSIMスワッピング攻撃への懸念が高まっています。

SIMスワッピングとは、被害者の電話番号がサイバー犯罪者自身のSIMカードに移されることを指します。

これにより、詐欺師は被害者宛ての通話やメッセージ(多要素認証(MFA)に使用されるワンタイムパスコードを含む)を傍受できるようになります。

PUKコードは8桁のセキュリティコードで、PINコードを複数回間違えて入力した場合にSIMカードのロックを解除するために使用されます。

Orangeのベルギー子会社は、8月20日に公開したプレスリリースでこのインシデントを明らかにしました。同社によると、脅威アクターが顧客の名前、姓、電話番号、SIMカード番号、PUKコード、料金プランを含むITシステムにアクセスしたとのことです。

「インシデントが発覚次第、当社チームは該当システムへのアクセスを遮断し、セキュリティ対策を強化しました。Orange Belgiumはまた、関係当局に通報し、司法当局に正式な告訴を行いました」と、同社は8月20日に発表したプレスリリースで述べています。

「該当するお客様には、メールおよび/またはSMSで通知済み、もしくは今後通知予定です。疑わしい連絡には十分ご注意いただくようお願いいたします」とOrange Belgiumは付け加えました。

今回の攻撃では、パスワード、メールアドレス、銀行や金融データにはアクセスされていません。

通信会社によると、侵入は7月下旬に検知されました。これは、Orangeがフランス事業に影響を与えたサイバー攻撃を報告した時期とほぼ同じですが、このインシデントでは企業や顧客データへのアクセスはなかったとされています。

Orange Belgiumは、Infosecurityからのメール問い合わせに対し、両インシデントが関連しているかどうかは確認しませんでした。

SIMスワッピング脅威へのOrangeの対応に注目集まる

データ漏洩への懸念を和らげるため、Orange Belgiumは事件後に実施した追加のセキュリティ対策をまとめた別の顧客向け情報ウェブページを公開しました。

これには、攻撃者による顧客SIMカードの交換申請を防ぐための追加の本人確認手続きが含まれています。Orange Belgiumによると、電話サポートチームはそのような申請があった場合、追加の秘密の質問を行うとのことです。これらの質問の答えは、ハッカーがアクセスした個人データには含まれていません。

8月20日の一連のLinkedIn投稿で、Orange Belgiumの顧客でありバグバウンティ企業IntigritiのホワイトハットハッカーであるInti De Ceukelaire氏は、同社の新たな対策はSIMスワッピングの脅威に対処できていないと述べました。

「OrangeはFAQを修正し、今は『秘密の質問』も行い、物理的な交換時には引き続きID確認をしているため、SIMスワッピングの懸念を否定しています。しかし、これらの追加対策が攻撃者による他社への番号移行をどのように防ぐのかは説明されていません。また、PUKやSIM番号の変更方法についても、他の事業者が非常に機密性の高い情報とみなしているにもかかわらず、何の努力もガイダンスもありません」と彼は書いています。

De Ceukelaire氏はまた、後のブログ投稿で、同社の事件に関する初期のコミュニケーション全般についても批判しました。特に、データ漏洩の深刻さを軽視するような言葉遣いを非難しています。

これには「重要なデータは漏洩していない」という声明が含まれています。

「このケースでは、電話番号、PUK、SIMカード番号(SIMスワッピング攻撃で役立つ可能性がある)が、ハッカーが入手するのが極めて稀なものであるにもかかわらず、重要とは定義されていません」と彼は指摘しています。

また、同社が「欺瞞的」なコミュニケーションを行い、「責任を顧客に転嫁している」とも非難しました。

Warlockが最新のOrangeサイバー攻撃を主張

Orange Belgiumへの攻撃は、Warlockランサムウェアグループによるものとされています。ランサムウェア監視プラットフォームRansomware.liveは、同グループが同社から盗んだとされるデータのサンプルをデータリークサイトに掲載したと明らかにしました。

Warlockグループは、全データセットが販売可能であると述べています。

Warlockランサムウェアは、攻撃者がMicrosoft SharePointの「ToolShell」連鎖型脆弱性(2025年7月に初めて公表)を悪用することで広範に展開されています。

Warlockのオペレーターは最近、英国の通信事業者Colt Technology Servicesへの攻撃も自らの犯行と主張しており、セキュリティ研究者はこれがToolShellエクスプロイトチェーンに関与する2つの脆弱性の1つであるCVE-2025-53770の悪用に起因すると考えています。

Orangeが以前フランス事業で公表した攻撃は、Babuk2という脅威アクターグループによるものとされており、両インシデントは無関係であることが示唆されています。

翻訳元: https://www.infosecurity-magazine.com/news/orange-data-breach-sim-swapping/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です