はじめに
Resecurityは、オフショア・バンキング・プラットフォームに対する攻撃の増加を確認しました。この活動の動機は従来型のサイバー犯罪ではなく、情報収集である可能性があります。というのも、オフショア地域の一部の国は非協力的であることで知られ、租税回避スキームや、不正行為で得た資金の処理に深く関与しているためです。
あるハッカーは、セーシェル商業銀行(Seychelles Commercial Bank:SCB)の顧客の個人データを盗み出して販売したと主張しています。世界で最も小さな国の一つであるセーシェルで個人および法人向けサービスを提供する同銀行は、ハッキングを受けたことを顧客に通知しましたが、盗まれたのは資金ではなく個人情報のみだと述べました。
OCCRPによる報道によれば、セーシェル中央銀行は電子メールで、セーシェル商業銀行から最近のサイバーセキュリティ・インシデントについて正式な通知を受けたことを確認しました。
マダガスカルの北東に位置するインド洋の群島国家である同国は、人口9万8,000人を擁し、アフリカで最も裕福な国にランクされ、タックスヘイブンとしての評判があります。
データ侵害の通知
セーシェル商業銀行は金曜日、「最近、サイバーセキュリティ・インシデントを特定し封じ込めたが、その結果、インターネット・バンキング・サービスを一時停止している」と述べ、顧客に対し「当行のATMをご利用いただくか、通常の営業時間内に支店へお越しください」と求めました。
侵害通知において、同行は顧客に次のように伝えました。「SCBは、このサイバー事案により、インターネット・バンキング利用顧客の個人情報のみが意図せず露出したことを残念に思います。当行は、インターネット・バンキングをご利用のすべてのお客様に対し、資金へのアクセスは一切行われていないことを改めて保証いたします。」
この侵害が最初に公に明らかになったのは、7月4日にサイバー犯罪マーケットプレイス「DarkForums」で、ユーザー「ByteToBreach」が「セーシェルの主要銀行の顧客漏えい」を販売すると投稿した時だったようです。
掲載文の一部には次のように書かれていました。「現在、この銀行の顧客データを保有しており、生年月日、電話番号、氏名、住所、メールなどが含まれます。残念ながら、従業員のPINやパスワード、一般ユーザーのものも含め、すべて暗号化され、追加レイヤーで保護されています。AESキーを持っていても、私の知る限り復号は不可能です。FCDBのクラック経験がある人がいれば、非常に重大なデータが含まれています(政府の残高口座がエントリーの中にあります)。」
FCPB(攻撃者がFCDBと呼ぶこともある)は、SCBが銀行ソフトウェアとして使用しているOracle Flexcube Private Bankingアプリケーションで、顧客がオンラインで口座にアクセスし取引を行う機能も含まれます。
このアクターは投稿履歴が極めて限定的で、目立たない存在感を維持しています。これは、ハック&リーク作戦のために雇われた傭兵に典型的な指標です。一般に、この種のアクターは非常にプロフェッショナルで戦術も高度であり、データ獲得という明確な任務を帯びています。
盗まれたデータ
ロサンゼルス拠点のサイバーセキュリティ企業Resecurityの研究者は攻撃者と接触し、盗難データのサンプルを確認しました。そこには多数の顧客名、メールアドレス、電話番号、口座種別、口座残高が含まれているようだと述べています。複数の口座には「当座預金 – 政府」とのラベルも付されていました。
漏えいデータが本物かどうかは、侵害について顧客に謝罪した銀行によって、まだ確認されていません。
Resecurityは人的情報(HUMINT)により盗難データの複数サンプルを入手し、影響を受けた組織および法執行機関と共有しました。ある掲載では、企業と個人の両方を含む1,214件の記録があり、それらのPIIが含まれていました。
IDCUST DAT_CUST_OPEN NAM_FIRST NAM_LAST NAM_MID NAM_FULL TXT_PREFECTURE DAT_BIRTH FLG_GENDER ADDR_1 ADDR_2 ADDR_3 ADDR_4 ADDR_CITY ADDR_STATE ADDR_COUNTRY ADDR_ZIP FLG_KYC TXT_EMAIL TXT_RES_PHONE TXT_MOB_PHONE TXT_BUS_PHONE TXT_RES_FAX TXT_BUS_FAX STMT_OPT DUP_CIF IS_STAFF MKTG_OPT_EMAIL MKTG_OPT_PH MKTG_OPT_MAIL REG_MEDIA REG_CHANNEL NAM_FIRST2 NAM_LAST2 DATCREATED CREATEDBY LASTUPDDATETIME UPDATEDBY RET_MAIL_COUNT FLGSTATUS INITIAL_DEP_RECVD WC_PACK_STATUS DAT_WC_PACK_STATUS EMAIL_STATUS IS_SINGLE_STEP MKTG_STMT_OPT ADDR_KYC PROD_INFO REMOTEADDRESS BANNER_ID DAT_DEATH POASTATUS DECEASEDSTATUS DAT_POA DAT_DECEASED IDDOCUMENT IDCHANNELUSER CUSTOMERTYPE UNITTYPE NAMFULL2 ID_ENTITY CODBRANCH
注目すべきことに、盗難データにはSCB従業員への言及も含まれており、銀行業務に追加のリスクを生み得ます。少なくとも1通、身代金要求を伴う標的型メールが銀行スタッフに送られていることから、アクターはさらなる恐喝を試みるためにその情報を利用していた可能性が高いです。
機微な詳細の一つとして、このダンプには各省庁で働くセーシェル政府関係者の情報も含まれていました。セーシェル国家元首府(大統領府)およびその他の政府機関の代表者に関する複数の記録が確認され、データ侵害をめぐる機微性が高まっています。
アクターは口座残高情報を含むデータの持ち出しに成功しました。このようなデータが悪意ある者の手に渡れば、大規模な追加の不正行為の引き金となり得ます。
ByteToBreachはInformation Security Media Groupに対し、2025年2月5日に最初に銀行ネットワークへ侵入し、その後7月3日に戻って7月4日にかけてデータを持ち出し、最終的に2.2ギガバイトの顧客データを盗んだと語りました。
攻撃者は、詳細は明かさないとしつつ、Oracle WebLogic Serverの脆弱性を通じて銀行をハッキングしたと主張しました。「かなり安全なネットワークだったので、構成を理解するためにOracle FCDBのPDFマニュアルをダウンロードする必要があった」とByteToBreachは述べています。「その上にFortinetもあります。」
ハッカーはまた、銀行のIT環境から盗んだ復号鍵を用いて、盗難データの一部の復号に成功したとも主張しました。「復号鍵は簡単にアクセスできたが、最初は役に立たなかった。Oracleのドキュメントを読んだ後、データの一部を復号した」と述べています。
攻撃者は、身代金要求を含め同社と連絡を取ろうとした後も銀行から「まったく何も」反応がなかったと主張し、「だからこそ、これほど大々的に公表した」と付け加えました。また、「私は通常、支払いを受け取ったら被害者を放っておく」とも述べています。
ByteToBreachは、データ侵害で得たメールアドレスを使って顧客に直接連絡し、銀行へのさらなる恐喝を試みていました。「あなたの個人データがSCB Bankによって侵害され、彼らはそれを隠蔽しています。説明を求めて連絡してください」とするメッセージが、7月8日に銀行顧客の一部へ送信されています。
そのメールスレッドに記載された個人は、自身が正当な銀行顧客かどうかという問い合わせに直ちには応答しませんでした。
ByteToBreachは、盗難データ一式を少なくとも一度、ビットコインで約750ドルで販売したと主張し、さらに銀行への「アクセス」を共有してほしいという持ちかけも受け、それを6,000ドルで売ったとも述べました。「しかし、結局アクセスはもうなく、ビットコインを送り返すだけの気力がなかった」と語っています。
非常に注目すべきなのは、銀行から盗まれた機微データの価格が異常に低い点で、これはアクターが「金銭目的」で動いていた可能性が低く、むしろデータを漏えいさせることを狙っていたことを示唆します。ハッキングの真の動機は、標的型スパイ活動および情報収集である可能性があります。
恐喝の試み
最初期の恐喝の試みの一つは7月4日頃に確認されました。アクターは「fortiweb_technologies」という別名でProtonMailを使用し、銀行に連絡して漏えい情報を公表すると脅しました。当時、彼は自らを「プロのペネトレーションテスター」と位置付けていましたが、その表現は典型的な「バグバウンティ」ハンターのものとは一致しませんでした。アクターは初期アクセスブローカーであり、機会主義的に被害者へ接触することを選んだ可能性があります。
反応が得られなかったため、アクターは7月8日頃、盗用したGmailアカウントを使って複数回フォローアップし、今度は銀行の複数の顧客にも連絡しました。
考えられる影響
銀行は顧客に対し、侵入の調査のため警察と協力していること、また「追加のサイバーセキュリティ対策」を講じていることを伝えました。これには「インターネット・バンキング・プラットフォームの停止やその他の緩和措置を含むが、それらに限られない」対応が含まれ、修正が完了するまで継続されるとしています。
この侵害が注目され得るのは、銀行預金に関する税負担に対するセーシェルのアプローチが背景にあるためです。Tax Justice Networkによれば、同国はその法令・規制に基づき、「世界の企業による租税濫用を可能にする最大の国々を順位付けする『Corporate Tax Haven Index』で現在45位に位置する」とされています。
国際調査報道ジャーナリスト連合(ICIJ)は2014年の報告で、セーシェルを「マネーロンダラーや脱税者にとってのオフショアの磁石」と表現しました。
セーシェル商業銀行のデータ漏えいは、セーシェルが2016年の「パナマ文書」漏えいのような事態に直面する可能性を示唆します。あの事件では、匿名の情報源がパナマの法律事務所モサック・フォンセカから1,150万件の文書を漏えいし、多数の個人・組織がオフショアのペーパーカンパニーを設立するのを助けていたと報じられました。文書は、政治家、巨大企業の所有者、詐欺師によるマネーロンダリング、租税回避、制裁逃れの疑いを明らかにしました(参照:If You Hide It, They Will Hack)。
過去の振り返り
注目すべきことに、金融機関へのハッキングを伴うサイバーセキュリティ・インシデントは、セーシェルにとって今回が初めてではありません。セーシェル開発銀行(Development Bank of Seychelles:DBS)は、発生経路が不明のままのランサムウェア攻撃を受けています。同銀行は当該インシデントを同国の規制当局に通知し、現在も影響範囲の評価を続けています。
セーシェル政府と複数の株主による合弁であるDBSは、サイバー事案が2020年9月9日(水)に発生したと述べました。同国のすべての金融機関を規制するセーシェル中央銀行は、その2日後の9月11日に発表したプレスリリースでこの事案を公表しました。
「セーシェル中央銀行(CBS)は、セーシェル開発銀行(DBS)のネットワークに対するランサムウェア攻撃について通知を受けた」と、プレスリリースには記されています。
セーシェル商業銀行(SCB)への攻撃とセーシェル開発銀行(DBS)への攻撃が関連し、同一のアクター(複数)によって実行されたかどうかは不明ですが、オフショア・バンキングに焦点が当てられている点は間違いなく注目に値し、比較的特異です。
参考文献
– セーシェルの銀行、先週ランサムウェアに感染した侵入経路が不明
https://www.bitdefender.com/en-us/blog/hotforsecurity/seychelles-bank-doesnt-know-how-it-got-infecte…
