- ロシア関連のLynxギャングがCSA Tax & Advisoryへのランサムウェア攻撃を主張し、納税者データを流出
- 露出した記録にはSSN、確定申告書、健康保険加入(適用)に関する合意書、社内の企業間通信が含まれる
- 侵害により、完全ななりすまし被害、IRS詐欺、保険詐欺、そして深刻な事業・規制上の影響のリスク
マサチューセッツ州ヘイバーヒルの地元の会計・税務事務所であるCSA Tax & Advisoryが、ロシア関連のランサムウェア集団による攻撃を受けたと報じられています。Lynxを名乗るこのグループは最近、自身のデータ流出サイトにCSAを追加し、米国の納税者から機微なデータも盗み出したと述べています。
CSAは侵害を認めることも否定することもしておらず、Lynxの主張が正当なものかどうかは、現時点では不明です。
それでも同グループはサイト上でデータのサンプルを共有しており、Cybernewsの研究者は、そこに人々の氏名、社会保障番号(SSN)、郵送先住所、配偶者の医療保険適用に関する合意書、請求書、個人所得税の申告データ、IRSの電子申告(e-file)署名承認フォーム、社内の企業間通信が含まれていると主張しています。
データが悪用される可能性
確認されれば、この侵害は非常に深刻で、身元と財務の完全な侵害に当たり、被害者はなりすましや詐欺のリスクにさらされます。
個人レベルでは、SSNが郵送先住所や確定申告データと組み合わさることで、完全ななりすまし被害につながり得ます。犯罪者はクレジットカードを作成したり、ローンを組んだり、還付金を得るために虚偽の確定申告を提出したり、銀行・貸金業者・行政サービスでの本人確認を通過したりできます。SSNには有効期限がないため、被害は何年にもわたって続く可能性があります。
IRSの電子申告署名承認フォームのような税務特有の書類も、虚偽の申告提出、還付金の送金先変更、被害者が気づく前の申告内容の改ざんに悪用される恐れがあります。
被害者は、詐欺被害者であることを証明するために、IRSと何カ月にも及ぶ争いに巻き込まれる可能性があります。配偶者の医療保険適用に関する合意書は、保険詐欺や恐喝につながり得ます。攻撃者はこの情報を使って偽の保険請求を提出したり、保険会社に対して契約者になりすましたり、家族や医療に関わる機微な情報を暴露すると脅したりできるため、(侵害が発生していた場合)情報が露出した人々には深刻かつ具体的な危険があります。
犯罪者はまた、このデータを用いてソーシャルエンジニアリング、ビジネスメール詐欺(BEC)、または金銭詐欺で企業を狙うこともできます。
社内メールは、業務フロー、承認経路、信頼関係を明らかにし、サイバー犯罪者が大きく悪用できる可能性があります。このような状況では、企業は規制当局からの罰則、侵害通知の義務、訴訟、顧客の信頼喪失、そして専門職賠償責任に関する請求の可能性に直面します。米国では、SSNや税務データの露出は、州の侵害通知法、IRSによる精査、そしてFTCの措置の可能性を引き起こすことが少なくありません。
