オランダ国家警察(Politie)は、2月に通信事業者Odidoで発生した情報漏えい事件について、オランダ人ハッカーが関与していたことを示す「強力な兆候」を発見したと発表しました。
警察は木曜日に公表したプレスリリースの中で、「この中には、ハッキング発生の直前にOdidoのカスタマーサービスへかけられた電話の通話記録も含まれている。この通話ではオランダ語を話す男がOdidoのIT担当者になりすましていた。同社はこれによりフィッシングで欺かれ、その後データが盗み出された」と説明しています。
国家捜査・介入ユニット(National Investigation and Interventions Unit)の運用責任者であるStan Duijf氏は、「この種の捜査はしばしば複雑で時間を要するが、サイバー犯罪者もまた脆弱であり、痕跡を残すものだ。Odidoへのハッキングを巡る捜査では、これまでの過程で複数回にわたり痕跡が確保されており、捜査チームはその分析を継続している」と付け加えました。
Odidoはオランダ最大級の通信会社の一つで、オランダ全土の数百万人の顧客にモバイル、ブロードバンド、テレビサービスを提供しています。
Odidoは2月12日にこの情報漏えいを公表し、攻撃者が2月7日に同社の顧客連絡システムに侵入し、多数のユーザーの個人データをダウンロードしたと説明しました。また同社は地元メディアに対し、今回の情報漏えいで620万人の顧客が影響を受けたこと、そして脅威アクターが数百万件のユーザー記録を盗み出したと連絡してきたことを明らかにしています。
同社によると、流出した情報は顧客ごとに異なりますが、氏名、住所・居住都市、携帯電話番号、顧客番号、メールアドレス、IBAN(銀行口座番号)、生年月日、および一部の身分証明書情報(パスポートまたは運転免許証番号とその有効期限)の組み合わせが含まれる可能性があるとしています。
ただし、通話記録、位置情報データ、請求データ、身分証明書のスキャン画像、Mijn Odidoのパスワードは今回の事件では流出していないと付け加えています。
Odidoはまだこの事件の犯行主体を特定していませんが、恐喝集団ShinyHuntersはダークウェブのリークサイトでこの情報漏えいの犯行を主張し、同社がすでに流出したと公表していたデータを含む1,500万件超のレコードを収めた88GBのアーカイブを公開しました。

ShinyHuntersはこれまで、Okta、Microsoft、GoogleのシングルサインオンSSO)アカウントを狙った大規模なビッシング(音声フィッシング)キャンペーンの主犯とみられており、IT サポート担当者になりすまして標的企業の従業員を騙し、フィッシングサイトに認証情報や多要素認証(MFA)コードを入力させる手口を用いています。
企業のSSOアカウントに侵入した後、脅威アクターはMicrosoft 365、Google Workspace、Salesforce、SAP、Slack、Zendesk、Dropbox、Adobe、Atlassianなど、連携するSaaSアプリケーションからデータを盗み出します。
このサイバー犯罪集団はこれまでにも、Google、Cisco、PornHub、大手オンラインデーティング企業Match Group、欧州委員会、Rockstar Games、教育技術大手McGraw-Hillなど、数多くの企業を巻き込む情報漏えい事件と関連付けられています。
さらに、Snowflakeの顧客十数社や他の様々なサードパーティ連携プロバイダーで発生したセキュリティ侵害、そして最近では100を超える組織(ノッティンガム大学を含む)を襲った、OracleのPeopleSoftゼロデイ脆弱性を悪用したデータ窃取攻撃による一連の情報漏えいの背後にも、この集団の存在があるとされています。
攻撃者に先んじて、あらゆるレイヤーをテストする
セキュリティチームが記録できている攻撃の成功例はわずか54%、そのうちアラートが上がるのはたった14%に過ぎません。残りは検知されないまま環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(breach and attack simulation)がSIEMやEDRのルールをどのようにテストし、脅威の見逃しを防ぐかを解説しています。