ダークウェブのデータブローカー
昨日、2025年7月1日――「888」という別名を名乗るアクターが、CIEE(Centro de Integração Empresa-Escola)から盗まれた機微な個人識別情報(PII)を含む248,725件超の記録を公開しました。 ONE CIEEは、企業向けにCIEE Centro de Integração Empresa-Escola(ビジネス・スクール統合センター)が提供する、パーソナライズされた採用・選考サービスで、インターンシップおよび見習い(アプレンティス)プログラムの候補者を探す企業を支援します。専門家と企業をつなぎ、ブラジル国内の大手国際企業から地域の組織まで幅広く利用されています。
このサービスは、ブラジルの主要金融機関に加え、人気のオンラインプラットフォーム、エネルギー、石油・ガス、通信、テクノロジー提供事業者にも広く利用されています。なぜ脅威アクターはこのようなサービスを狙うのでしょうか。主な理由は、デューデリジェンスや採用プロセスのために収集された大量の機微なPIIが集約されており、サイバー犯罪者にとって価値の高い標的となるためです。盗まれたデータはダークウェブで容易に収益化でき、さらなるなりすましや金融詐欺にも悪用されます。
当該アクターはダークウェブ上で信頼できる評判を有しており、特に大規模なデータ侵害を実行することで知られています。さらに6月17日には、ブラジルで人気のeスポーツ賭博プラットフォームであるMinasBetから盗まれたデータを、異なる業種で活動する複数の他の被害組織のデータとともに公開しました。
「888」のプロフィールは少なくとも2024年から存在しており、Microsoft、BMW(香港)など、テック、貨物、石油・ガス業界の企業を含む法人を標的にして成功していました。このアクターは「筋の通った売り手」として知られ、地下コミュニティ内での高い評判と、漏えいの実績が裏付けられていることから、入手したデータベースを独占的に販売しています。
Resecurityは「888」を、利益目的(金銭的動機)で活動し、公開(パブリック)に面したサービスやアプリケーションを標的とする高度な地下データブローカーと位置付けています。注目すべき点として、同人の過去の活動は、FBIが最近、さまざまな企業や政府機関に属する盗難データをダークウェブで収益化したとして起訴したIntelBrokerのような著名アクターの活動と重なる部分があります。
証拠として、当該アクターはブラジル市民の個人データを含むサンプル記録を共有しました。データがどのように持ち出された(流出した)のかは明らかにしませんでしたが、Resecurityが真正性を確認した相当量のデータセットを共有しました。当社チームは、影響を受けた個人の中から特定された複数の被害者に連絡し、CIEEの登録ユーザーであったとのフィードバックを得ました。
当該アクターは(プライバシー強化のため)XMR(Monero)での支払いを好み、他の地下アクターとの取引を成功させてきた履歴があります。Resecurityは、当該アクターから追加の状況情報を得るためにヒューマン・インテリジェンス(HUMINT)チームを投入し、観測されたアーティファクトを当社レッドチームと共有して、侵害の可能性があるポイントの特定を試みました。当社チームはアクターを金銭的に支援することを望んでいません。そうした行為は単に彼らの活動を助長する可能性があるためです。その代わりに、当社の専門家は代替手段を用いてインテリジェンスを収集し、彼らの活動を妨害し、被害者を支援しようとしています。
侵害ポイント
数時間にわたる広範な調査の結果、当社のスレットハンターは、露出したクラウドバケットを調査することで侵害の可能性があるポイントを特定しました。残念ながら、このベクターは依然として非常に一般的であり、脅威アクターがデータ窃取のために広く悪用できるものです。これは、クラウドサービスの保護不足と、構成の堅牢化が不十分であることに起因します。
クラウドバケットの露出――クラウドストレージバケット(AWS S3、Google Cloud Storage、Azure Blob Storageなど)が誤って設定され、権限のないユーザーがアクセス可能な状態で放置されること――は、サイバー犯罪者にとって非常に人気が高く、重大な攻撃ベクターとなっています。クラウドサービスの普及がこの傾向を後押ししているほか、設定ミスの頻度や、これらのバケットに保存されがちな価値の高いデータも要因です。サイバー犯罪者は自動化ツールを用いて公開アクセス可能なバケットをスキャンし、大規模に設定ミスを特定して容易に悪用します。
クラウドリソースの定期的なセキュリティ評価の過程で、CIEEに属する誤設定されたGoogle Cloud Storageバケット(ciee-storage.storage.googleapis.com)が、一般公開されていることが判明しました。この設定ミスにより、認証なしで機微な業務データおよびユーザーデータが公衆インターネットに露出していました。バケット内のデータには、合計約28GBに及ぶ364,000超のファイルが含まれていました。これらのファイルには、相当量の個人識別情報(PII)、財務文書、医療記録、メディアファイル、内部レポートが含まれていました。直ちに封じ込めと是正の措置を開始すべきです。
2025年7月2日 – Resecurityは本件についてCERT.brに通知し、クラウドバケットのデータ露出につながった特定の脆弱性に関する実行可能なインテリジェンスを共有しました。
露出したバケットの概要
バケット名:ciee-storage.storage.googleapis.com
• 目的:業務運用のための汎用ストレージ。
• 誤設定:公開読み取りアクセスが有効化され、任意のユーザーがファイル一覧表示およびダウンロード可能。
• リスクレベル:高
バケット統計:
• 総ファイル数:364,942
• 総サイズ:約28 GB
内容の調査により、以下の内訳が判明しました:
• プロフィール写真
◦ 数量:281,912
◦ 形式:JPEG/PNG
◦ 説明:アカウント作成または認証のために提出されたユーザープロフィール画像。
• 求人動画
◦ 数量:約8,000
◦ 形式:MP4/MOV
◦ 説明:ユーザーによる応募動画の提出物。
• 履歴書(CV)
◦ 数量:約40,000
◦ 形式:PDF/JPEG
◦ 説明:求人応募のためにアップロードされたユーザーのレジュメ。
• CSVファイル(候補者レコード)
◦ 数量:285
◦ 形式:CSV
◦ 説明:各ファイルには約300,000件の候補者レコードが含まれ、以下のフィールドを含む:
• Nome Completo, CEP, Bairro, Cidade, Estado, E-mail, Telefone, PCD, CPF, Data de Cadastro, Idade, Personalidade, Formação, Contratado, Vaga Contratado, Experiências
• 医療レポート
◦ 数量:2,838
◦ 形式:PDF
◦ 説明:求人応募に関連付けられた私的な医療評価およびレポートを含む。
• Excel文書
◦ 数量:264
◦ 形式:XLSX
◦ 説明:内部の追跡シート、分析、候補者リスト、運用データ。
何が侵害されたのか?
数時間にわたる広範な調査の結果、当社のスレットハンターは、露出したクラウドバケットを調査することで侵害の可能性があるポイントを特定しました。残念ながら、このベクターは依然として非常に一般的であり、クラウドサービスの保護不足と構成の堅牢化が不十分であることから、脅威アクターがデータ窃取のために広く悪用できます。
初期評価の後、データ侵害の中心的な要素は、CPF識別子を含むPIIの開示でした。CPFはCadastro de Pessoas Físicasとしても知られ、ブラジルの個人納税者番号です。
データはCSV形式で保存されており、(CCIEプラットフォーム経由で受領した新規登録により)更新されていた可能性が高いです。2025年7月2日時点で問題は封じ込められておらず、脅威アクターが露出したPIIを収集し続けられる状態でした。
Resecurityは露出した記録を入手し、ブラジルのデータ保護当局と共有して、被害者にプライバシー上のリスクを周知しました。
包括的な評価により、このデータ侵害が、当該アクターが当初示した内容よりもはるかに広範な影響をもたらすことが明らかになりました。彼は、自身が利用可能なデータを保護し、その一部のみを収益化することを意図していた可能性があります。Resecurityが侵害ポイントを特定したことで、テキスト記録に加え、当該アクターが医療レポートを含む個人文書のスキャンも入手し得たことが明確になりました。これらはユーザーのプライバシーにとって極めて重大です。
この規模のデータ侵害は、個人データと実際の文書および医療情報が組み合わさるため、特に被害が大きく、緩和も困難です。被害者はそれらを容易に変更したり「消去」したりできません。一方で、電話番号やメールアドレスなどの連絡先情報は比較的容易に更新できます。さらに被害を深刻化させる要因として、生体情報や医療データは非常に機微なカテゴリであり、被害者のプライバシーに大きな影響を与えます。
Resecurityは影響を受けた関係者に迅速に警告し、データ侵害の範囲を特定し、速やかな封じ込めのための推奨事項を策定する目的で追加のアーティファクトを共有しました。入手した記録は、データ漏えいリスクについて企業および消費者に警告するため、当社のデジタル・アイデンティティ保護プラットフォームにも取り込まれ、配信されています。
プライバシー、セキュリティ、事業への影響
プライバシー上の影響:
• 大規模なPII露出:数千人の個人識別情報が現在公開アクセス可能となっており、将来の詐欺(身元盗用やなりすましを含む)に利用されます。
• 機微情報は恐喝に利用される可能性があります。
セキュリティ上の影響:
• 大規模なPII露出:数百万人の個人識別情報が公開アクセス可能でした。 将来の攻撃に利用されます。
• 機微な健康データの開示:医療レポートの露出は、追加のコンプライアンスリスクをもたらします。
• 認証情報の漏えい:設定ファイルの存在により、システム認証情報が露出する可能性があります。
• 偵察支援:攻撃者は内部データ構造を利用して攻撃を最適化する可能性があります。
事業リスク:
• 規制違反:この露出はLGPD(Lei Geral de Proteção de Dados)および国際的なデータ保護法に抵触する可能性があります。
• 評判の毀損:ユーザーは、プラットフォームが情報を保護する能力に対する信頼を失う可能性があります。
• 金銭的責任:罰金・制裁の可能性が大きいことに加え、侵害通知および被害軽減コストが発生します。
結論
本インシデントは、継続的なセキュリティ監視、プロアクティブなアクセス管理、包括的なクラウドセキュリティ・ガバナンスの重要性を浮き彫りにしています。露出したデータの規模と機微性を踏まえると、再発防止のために、インシデント後の徹底的なレビューと、インフラ管理の継続的な改善が必要です。
クラウドバケットの露出は、サイバー犯罪者にとって人気の攻撃ベクターであるだけでなく、最も執拗で被害の大きいものの一つでもあります。頻繁な設定ミス、発見の容易さ、クラウドバケットに保存されるデータの高い価値が組み合わさることで、攻撃者にとって好都合な標的となっています。組織は、このリスクを軽減するために、安全な構成、定期的な監査、強固なアクセス制御を優先しなければなりません。
本レポートはまた、別の例として、侵害が技術的要因や内部脅威によって発生する一方で、同様に一般的な原因が不適切なアクセス制御であることを示しています。脅威アクターはこの3つすべてを引き続き悪用し、同じ結果――企業の知的財産(IP)およびユーザーのPIIが脅威アクターに取得され、被害者化される――を招いています。
Resecurityは、企業がVAPT(脆弱性評価およびペネトレーションテスト) を実施し、継続的なサイバー脅威インテリジェンス(CTI) の収集を行って、データ侵害が甚大な被害をもたらす前の早期段階で、サイバー犯罪者による標的化の兆候を検知することを推奨します。
個人データ漏えいにつながる脆弱性は、Lei Geral de Proteção de Dados(LGPD)法の下で重大な規制上の罰則につながる可能性があります。LGPDに準拠しない場合、ブラジルのデータ保護当局(ANPD)による行政制裁を受ける可能性があり、ブラジル国内売上高の最大2%(違反1件あたり上限5,000万レアル)の罰金が科され得ます。規制リスクに加え、ブラジルではデータ侵害やランサムウェア攻撃を含むサイバー犯罪が高水準で継続しています。これにより、LGPDへの準拠は法的義務であるだけでなく、重要なサイバーセキュリティ上の関心事でもあります。
最先端の脅威インテリジェンスとコンプライアンス自動化を、現地での専門知見と組み合わせて提供することで、Resecurityは組織がLGPD基準を自信を持って満たせるよう支援します。これにより、ブラジルの個人、企業、公共部門にとって、より安全で信頼できるデジタルの未来の構築に寄与します。 ブラジルが地域のテックリーダーとしての地位を強化し続ける中、Resecurityは同国のデータ保護エコシステムに貢献し、デジタル時代における市民の権利を守るという使命を支援できることを誇りに思います。
