はじめに
ShinyHuntersは、国家信用情報センター(CIC)のデータベースから1億6,000万件を超える記録を流出させたと主張した。ベトナムの人口は1億200万人未満であることを踏まえると、これは驚異的な数字であり、当該データセットには過去の記録や、個人ごとに複数の記録が含まれている可能性を示している。ベトナムの信用データを集約する中央リポジトリとしてのCICの役割は、特に魅力的な標的となり、侵害されることで、ほぼ全国民に影響し得る単一障害点が露呈した。
「初期調査では、個人データを盗むことを目的とした不正アクセスの兆候が示されており、侵害の範囲は引き続き評価中である」と、ベトナムのサイバーセキュリティ機関は木曜夜の声明で述べた。
CICは政府所有の中央集権型信用情報リポジトリであり、ベトナムの金融システムにおいて重要な役割を担っている。銀行、金融機関、保険会社、その他の貸し手から信用関連データを収集・維持・提供する。データには、融資額、返済履歴、個人識別情報が含まれる。これらの情報は、信用リスク評価、融資判断、金融包摂、国内のシステミックリスク管理に不可欠である。
ShinyHuntersは過去5年間で最も多作かつ悪名高いサイバー犯罪グループの一つで、数々の大規模データ侵害を引き起こし、数億人のユーザーと世界最大級の組織の一部に影響を与えてきた。これには、MicrosoftのGitHubアカウントの侵害、AT&T、Ticketmaster、Santander、MathWay、Tokopedia、Wishbone、Wattpad、Pluto TV、Bonobos、Aditya Birla Fashion and Retail、Mashable、Legal Aid Agency(英国司法省)などが含まれる。同グループの活動は、大規模なデータベース窃取から、高度なソーシャルエンジニアリングやクラウドプラットフォーム攻撃へと進化している。
また、このグループは一定の変容を経て、現在は「ShinyHunters-Lapsus-ScatteredSpider」複合体の傘下で活動しており、現代屈指のハクティビストの一部を結集している点にも触れておく必要がある。これらのアクターによる悪意あるサイバー活動は、Scattered Spider(UNC3944、Octo Tempest、Storm-0875、LUCR-3としても知られる)、UNC6040、UNC6395と関連付けられることが多い。DataBreaches.netが手配したインタビューで、アクターは「Scattered Spider型のハックではなかった……だからShinyHuntersだ」と述べた。同時に、過去の成功した攻撃の結果として築かれた「ブランド」を利用するため、別のアクターが彼らの別名を再利用する可能性もある。彼らのTelegramチャンネルは、これらのグループ名への言及を用いる複数のアクターによって管理されている。
このデータセットは販売に出され、新たに立ち上がった地下フォーラム「Breachsta」で公開された。同フォーラムでは、脅威アクターがさまざまな侵害済みリソースの収益化を行っている。トピックは後に削除されたが、アクターはTelegramチャンネルを通じて交渉を継続した。ShinyHuntersは盗まれたデータに対して比較的高額な価格を提示し、開始価格は17万5,000ドルだった。問題の規模を考えると、この価格は合理的である可能性があり、購入者はベトナムの金融システムを大きく見通せるようになる。また、被害者、とりわけ銀行顧客に関する機微情報の露出により、詐欺に悪用される可能性もある。
Resecurityは、販売されているデータについて詳しく知るためShinyHuntersに連絡した。アクターによれば、ベトナム政府を恐喝しようとはしなかった。支払いが得られる見込みが低いと考えたためだという。このため、ダークウェブで盗難データを収益化することにした。興味深いことに、当社調査員とのやり取りの中で、同グループが関心を持ち得る他のデータセットとのデータ交換の可能性にも言及した。地理的な優先順位として、米国、カナダ、オーストラリア、英国、ニュージーランド、そしてアジアを挙げた。ShinyHuntersはまた、CICに関連する記録の総量が30億件を超える可能性があるとも共有した。
ShinyHuntersがベトナムを標的にするのは今回が初めてである。同グループは漏えいに関して信頼できる実績を持つが、これまでアジアの組織を攻撃したことはなかった。彼らの攻撃の一部は「楽しみと利益のため」に行われており、ベトナムへの攻撃は機会主義的で、CICのような組織に保管されたビッグデータへのアクセス獲得に関心があって実行された可能性がある。
データ侵害の範囲
Resecurityは盗難データのサンプルを入手できた。特に、複数の記録には、VietCredit、MB Bank、Ocean Bank、VPBank、Sacombank(Saigon Thuong Tin Commercial Joint Stock Bank)、Agribank(Vietnam Bank for Agriculture and Rural Development)など、ベトナムの主要金融機関への参照が含まれていた(これらに限定されない)。当社チームは複数の被害者を特定し、インタビューのために連絡を取ることができた。彼らの誰も、いかなる形でも自分のデータが侵害されたという通知を受け取っておらず、国レベルでの身元保護措置について疑問が生じる。
データには過去の記録が含まれており、潜在的な加害者に被害者に関する相当な文脈を与え得る。
データには、ベトナムで支店開設およびフルブランチ設立の認可を受けた最初の米国系金融機関であるCitibankへの参照も含まれている。CICは国内の信用機関であるため、入手したデータセットでは、外国銀行や、ベトナム以外の国の個人のPIIは確認されなかった。
過去データに加え、2025年のタイムスタンプを持つ複数の記録も見つかった。最新のものには2025年2月付の記録が複数含まれる。さらに新しいタイムスタンプの記録が存在する可能性もあるが、これは影響を受けた当事者との独立した検証と調査によってのみ確認できる。しかし当該当事者は、このインシデントについてあまり透明性がないように見える。
ベトナムの現地専門家によれば、CICのような組織は実際のクレジットカード(CC)データを平文で保存しないという。同時に、詳細なPIIを含む多数の記録が確認されている。これには、氏名、メール、電話、識別子、金融機関への参照、残高とその最新更新を記述する記録、信用情報が含まれる。Resecurityは、入手したデータセットから無作為に選んだ100人以上の被害者に対し、メールでコメントを求めた。データが本物であることは確認されたが、その出所は依然として不明である。
サイバー犯罪者は、フィッシング、ソーシャルエンジニアリング、なりすましや身元盗用のシナリオを通じて詐欺行為を組織するために、この種のデータを求める。しかし、国家主体のアクターや外国情報機関も、スパイ活動や関心対象に関する情報収集のためにこのデータを利用する。ShinyHuntersからこの種のデータを購入し得る潜在的な買い手の一つは国家であり、国家全体を標的にするためにこの情報を大規模に活用できる予算と能力を有している可能性がある。
Resecurityは、流出したデータベースに関連するテーブル構造の可能性を分析した。そこには「CIC」などのプレフィックスが含まれており、侵害元を示している可能性が高い。
CIC_DWH_DIM_KHPN_DB.csv
CIC_DWH_FCT_CICB_QLNX_SLKH_MONTH_BAD.csv
CIC_DWH_FCT_CICB_TEMP_CRD.csv
CIC_DWH_FCT_TTP_LN_DEBT_TOP_PPS_TMP.csv
CIC_DWH_TEMP_DIM_CUSTOMERS_DTL.csv
CIC_DWH_WORK_DWH_CRD_TXN_CREDITCARD_MAX.csv
CIC_DWH_WORK_FCT_CRN_CC_NEWBK_XOA.csv
CIC_NORM_CIF_COMPANY_BK20231124.csv
CIC_NORM_CIF_IDV_BRANCH_HIS.csv
CIC_NORM_CIF_IDV_DIF.csv
CIC_NORM_CIF_IDV_DOC_HIS.csv
CIC_NORM_CK_CST_BR_LOST.csv
CIC_NORM_COMPARE_FCT_CREDITCARD.csv
CIC_NORM_CRD_CC_ZERO.csv
CIC_NORM_FIN_FINANCIAL_DTL_TT200.csv
CIC_NORM_FIN_FINANCIAL_HIS.csv
CIC_NORM_M2_NORM_CRN_CTR_PS_CT_W_DEL.csv
CIC_NORM_M2_NORM_OVER_BAL_11_K32_DEL.csv
CIC_NORM_RMT_COM_YR_PRFL_BK.csv
CIC_NORM_TBL_C06PL12.csv
CIC_NORM_TBL_C06PL12_MATCH.csv
CIC_NORM_TBL_C06PL12_MATCH_FINAL.csv
CIC_USERS_HD285_THE.csv
CIC_USERS_HTLT_HOITIN_OFFLINE.csv
CIC_USERS_PPT_SN_PHAPLY_LOG.csv
CIC_USERS_TBLGIAODICHCAPTIN2407.csv
CIC_USERS_TBLGIAODICHCAPTIN_HIS.csv
CIC_USERS_TBLHOADON2011_LS.csv
CIC_USERS_TBLKTTC_CHOTSOLIEU.csv
CIC_USERS_TBLTONGHOPSP_DVSUDUNG_BK.csv
CIC_USERS_VAMC2.csv
CIC_XHTD_CRD_TXN_CREDITCARD_TN_TMP.csv
CIC_XHTD_TBLXHDN_BC_DANHMUC_CT.csv
CIC_XHTD_TBLXHDN_NN_201709.csv
CIF_COM_BRANCH.csv
CIF_COM_BRANCH_HIS.csv
CIF_COMPANY.csv
CIF_CUSTOMERS_TT02.csv
CIF_IDV_BRANCH.csv
CIF_INDIVIDUAL.csv
CIF_INDIVIDUAL_HIS.csv
CIF_NN_CHUNG.csv
CRD_SUPP_CREDITCARD.csv
CRD_TXN_CREDITCARD_1.csv
D2_BCTC_BC009.csv
DIM_CUSTOMER.csv
DWH_LOD_TXN_CONTRACT_MAX.csv
FCT_CREDITCARD_BK20220920.csv
FCT_CRN_CC.csv
FCT_CST_BAL_DTL.csv
FCT_TTP_LN_BAL_BAD_DEBT.csv
FCT_TTP_LN_BAL_CARD.csv
FCT_TXN_CREDITCARD.csv
HTLT_HOITIN.csv
NORM_CREDITCARD.csv
T02DS_CUSTOMER.csv
T02G_IN_BALANCE.csv
T02G_RPT02.csv
T02G_TRE_BALANCE.csv
TBL_C06PL12.csv
TBL_C06PL12_DOT6.csv
TBL_CDTN_HOITIN.csv
TBLTEMP_TH1_204_07012024.csv
TBL_TN_SEABANK_FIX_TMP.csv
TBLXHDN_BC_DANHMUC_CT.csv
TLT_LEGAL.csv
TLT_LOAN_HIS.csv
TLT_LOOKUP_INFO.csv
注目すべき点として、記録には消費者だけでなく、ベトナムの事業体に関する情報も含まれている。
Resecurityはさらに、ベトナムおよびASEAN地域の顧客の保護を継続するため、公開領域外の複数の記録も入手し、追加分析を行っている。
盗難データの価値とリスクは何か?
ダークウェブでの価値:信用情報機関から盗まれたデータは、ダークウェブ上で最も価値の高い部類に入る。完全な身元プロファイル(「Fullz」)は1件あたり10~100ドル超で販売され得る。クレジットカード詳細は1枚あたり5~120ドル、政府発行IDは1件あたり数百~数千ドルに達することもある。
犯罪での利用:このデータは、身元盗用、金融詐欺(新規口座開設や融資の申請など)、フィッシング、ソーシャルエンジニアリング、さらには事業データや政府データが含まれている場合には企業スパイ活動にも利用され得る。
長期的影響:侵害の包括性により、このデータは今後何年にもわたり価値と危険性を保ち続ける可能性が高く、影響を受けた個人に対する継続的な詐欺やプライバシー侵害のリスクを高める。
もちろん、地理は価格に影響する重要な要因であり、ベトナムの文脈ではこれらの数値ははるかに低くなるだろう。ベトナムのデータを購入したいアクターは、まとめて入手することを好む可能性が高く、そのため価格設定は個別になる。提示された17万5,000ドルという価格は、含まれる記録数の多さを考えると妥当と思われる。この種のデータは、消費者と企業の双方を標的とした詐欺キャンペーンに利用され得る。
根本原因
使用されたエクスプロイト:ShinyHuntersは、CICが使用していたサポート終了(EOL)ソフトウェアに存在する「n-day」脆弱性(既知だが未修正の欠陥)を悪用したと主張した。ソフトウェアはもはやサポートされていなかったため、セキュリティパッチが提供されず、システムは特に脆弱な状態に置かれていた。
身代金要求なし:多くのランサムウェア攻撃とは異なり、ShinyHuntersはCICを恐喝しようとはしなかった。代わりに、ハッキングフォーラムでデータを販売に出し、証拠として大きなサンプルを提示した。
なぜShinyHuntersはCICを攻撃したのか?
考えられる動機
金銭目的:サイバーセキュリティ専門家の大半は、ShinyHuntersの主たる動機が金銭的利益である点で一致している。同グループは、地下市場で収益化できる価値あるデータを持つ組織を標的にしてきた長い歴史がある。
データの価値:CICが保有するデータの種類(包括的な信用報告、PII、金融記録、政府発行ID)は、ダークウェブ上で極めて価値が高い。この種のデータは身元盗用や金融詐欺を可能にし、他の犯罪者へまとめて転売することもできる。
政治的・思想的動機なし:攻撃が政治的または思想的動機によるものだという証拠はない。ShinyHuntersの過去の攻撃は、地政学的緊張に基づく標的選定のパターンを示しておらず、むしろ高収益なデータ窃取の可能性に基づいている。
状況要因
地政学的・金融的不安定:攻撃のタイミングは、世界的および地域的な地政学的緊張の高まりと金融不安定の局面と重なった。このような時期には、機関が脆弱になりやすく、攻撃者が混乱に乗じようとするため、サイバー攻撃が急増することが多い。
中央集権的標的:ベトナムの信用データを集約する中央リポジトリとしてのCICの役割は、特に魅力的な標的となり、侵害されることで、ほぼ全国民に影響し得る単一障害点が露呈した。
インシデント対応
CICは、国家サイバーセキュリティ機関および主要な国有テクノロジーパートナーと連携し、侵害の調査、システムの保護、脆弱性の特定を行うためのタスクフォースを立ち上げた。
ベトナム当局とCICは侵害を公に認め、調査が進行中であることを確認した。発表時点で運用上の被害はなく、信用情報サービスは機能し続けていると述べた。
当局は、侵害の全容を特定するため公式調査を開始した。サイバーセキュリティ局は、Viettel、VNPT、NCSなどの主要な国有テクノロジーパートナーとともに動員され、インシデントの範囲評価と攻撃者が悪用した脆弱性の特定を行った。国家サイバー対応チームも起動され、緊急措置の実施と対応の調整に当たった。
これまでのところ混乱や被害は発生しておらず、信用サービスは完全に稼働しているとCICは書簡で述べた。CICの担当者はコメント要請に直ちには応じなかった。同時に、データがどのようにしてダークウェブに漏えいしたのか、またそれを防ぐためにどのような措置が取られたのかを明確にした者はいなかった。今回のインシデントはCICの業務停止とは無関係で、データ窃取に焦点が当てられていたことは明らかである。政府は、国家サイバー対応チームがインシデントに対処するため緊急措置を講じていると、地元メディアに対して述べた。当局は中央銀行や他の機関と連携し、侵害の封じ込めと信用センターのシステム保護に取り組んでいる。
最近の発表で、国家信用情報センター(CIC)におけるサイバーセキュリティ侵害が、ベトナム・サイバー緊急対応センター(VNCERT)により確認され、初期調査では個人データ窃取を目的とした犯罪的サイバー攻撃が示唆された。Vietnam Newsによれば、VNCERTはすべての個人および組織に対し、漏えいデータをダウンロード、共有、または悪用しないよう厳格な警告を発した。違反はベトナムのデータ保護法およびサイバーセキュリティ法に従って処理される。不幸にも、データはすでに漏えいして利用可能になっているため、サイバー犯罪者によるこうした活動を防ぐことはできない。
昨日、ベトナム国家銀行(SBV)は、国家信用情報センター(CIC)でのデータ侵害を受け、顧客を安心させるための声明を発表した。SBVは、CICがベトナムで信用情報サービスを提供する権限を与えられた4つの組織のうちの1つであり、CICが収集する信用データには、銀行口座番号、口座残高、預金通帳、決済口座、デビットカードまたはクレジットカード番号、CVV/CVCコード、顧客の取引履歴は含まれないと確認した。
しかし残念ながら、他の種類のPIIは侵害の影響を受けている可能性が高く、詐欺師に悪用され得る。声明の中で中央銀行は、商業銀行のITシステムは引き続き安全かつ安定して稼働しており、顧客の資産と情報の保護を確保していると強調した。また、金融機関に対して定期的に、セキュリティ対策の強化、IT安全に関する法規制の遵守、顧客の権利保護を指示しているとも述べた。
Reutersによれば、投資銀行JPMorganは金曜に投資家向けノートで、このインシデントは銀行がサイバーセキュリティ改善のためにより高いコストを負担することにつながり得るほか、預金フローに対する潜在的リスクでもあると述べた。一方で、「広範な影響や追加のインシデントがない限り」ベトナムの銀行への投資を継続するという推奨は維持した。
重要性
2024年のサイバーセキュリティ報告書で、ベトナム軍運営の通信企業Viettelは、ベトナムにおけるデータ漏えいが急増し、漏えいアカウント数は1,450万件に達し、世界全体の12%を占めたと述べた。
サイバーセキュリティの専門家は、国家信用情報機関の侵害を、関与するデータの機微性と中枢性から「最悪のシナリオ」と見なしている。専門家は、この種のインシデントが、身元盗用、金融詐欺、システミックな不安定性のリスク増大など、連鎖的影響を引き起こし得ると強調する。Equifax(2017年、1億4,700万件)、Experian Brazil(2020年、2億2,000万件)など他の大規模侵害と比較しても、CICの侵害は、その規模と、ベトナムの国家金融インフラにおける同機関の重要な役割の点で際立っている。金融セクターにおけるデータ侵害の平均コストは590万ドルで、訴訟、規制当局の罰金、市場価値の損失による追加コストも発生する。
ShinyHuntersは、世界中で数億人のユーザーに影響を与える多数の著名な侵害の責任を負う、最も多作で危険なサイバー犯罪グループの一つとして認識されている。彼らの攻撃は、技術的な高度さ、盗難データの迅速な収益化、恐喝や公開漏えいへとエスカレートする意欲によって特徴づけられる。CIC侵害への同グループの関与は、このインシデントの重要性と潜在的影響をさらに浮き彫りにしている。
参考文献
– ベトナムの国家信用登録・報告機関がハッキングされ、人口の大半が影響を受けた
https://databreaches.net/2025/09/08/vietnams-national-credit-registration-and-reporting-agency-hacke…
– クレジットセンターがハッキングされた後の大規模データ窃取についてベトナムが警告
https://www.bloomberg.com/news/articles/2025-09-12/vietnam-says-national-credit-center-hacked-warns-…
