サイバー犯罪
通信大手は機密データは取得されていないと主張するも、氏名・住所・電話番号・メールアドレスはすでに流出
ShinyHuntersは、米通信大手のCharter Communicationsが同グループの最新の恐喝要求に応じなかったとして、数百万件にのぼる顧客の個人情報をダンプしたと主張している。
Have I Been Pwnedによると、今回の侵害では氏名・メールアドレス・電話番号・住所を含む490万人分の顧客情報が流出した。また、社内スタッフディレクトリから取得されたと思われる約8万5,000件のより小規模なデータセットには、役職情報も含まれていたという。
Charterは今月初め、ShinyHuntersのリークサイトに掲載され、同グループは個人・法人顧客合わせて4,200万件超のレコードを窃取したと主張していた。
The Registerが確認したその掲載内容には、「4,200万件超の個人情報(PII)を含むレコードが侵害された。2026年5月27日までに連絡しなければ、情報を公開するとともに、いくつかの厄介な(デジタル的な)問題が降りかかることになる。これが最終警告だ」と記されていた。
期限が過ぎたとされた後、犯罪者たちは身代金の支払いを拒否した組織に対して使い回される文面で投稿を更新した。
「4,200万件超の個人情報(PII)を含むレコードが侵害された。我々の驚くべき忍耐と、これまで与えてきたあらゆる機会・提案にもかかわらず、当社との合意に至ることができなかった。彼らは意に介さないのだ。」
Spectrumブランドを通じて米国最大級のブロードバンドプロバイダーの一つであるCharterは、今回のインシデントを調査中であることを認めたものの、流出したデータの機密性については異議を唱えた。
「当社はこの状況を把握しており、セキュリティプロトコルに従い、関係当局と連携して対応しています」と同社は複数のメディアに提供した声明で述べた。「今回の一連の活動の結果として、脅威アクターによる機密性の高い個人情報(PI)または顧客独自のネットワーク情報(CPNI)データの持ち出しはありませんでした。」
これは技術的には正しいかもしれないが、数百万件にのぼる氏名・住所・電話番号・メールアドレスは、詐欺師・フィッシャー・個人情報窃盗犯にとって依然として有用な収穫物だ。
今回のインシデントは、Charterにとって注目度の高い侵害との初めての遭遇ではない。同通信プロバイダーは、昨年の中国によるSalt Typhoonsスパイキャンペーンに巻き込まれたとされる組織の一つであり、被害を受けた米国の通信事業者のリストは拡大し続けている。
今回の情報流出は、世界最大のクルーズ会社であるCarnival CorporationがShinyHuntersによって約600万人分の個人データも持ち去られたことを認めた数時間後に発生しており、同グループが異例なほど多忙な一週間を過ごしていることが示唆される。
データ窃取はランサムウェアよりも被害が少ないと判断している企業に対し、ShinyHuntersはその違いが情報をオンラインに晒された当事者にとってはさほど重要ではない理由を示す新たな事例を提供し続けている。®
