スペインのエネルギー供給事業者エンデサと、その Energía XXI事業者は、ハッカーが同社のシステムにアクセスし、個人情報を含む契約関連情報にアクセスしたことを顧客に通知しています。
エンデサはスペイン最大の電力会社で、現在はエネル・グループの傘下にあり、スペインおよび ポルトガルで1,000万人超の顧客にガスと電力を供給しています。同社によると、総顧客数は約 2,200万人に上るとしています。
エネルギー会社は、侵害の影響を受けた Energía XXIの影響を受けた顧客に通知するとともに、このセキュリティインシデントを公に開示し、商用プラットフォームへの不正アクセスを検知したと述べました。
「当社が実施しているセキュリティ対策にもかかわらず、エネルギー契約に関連する当社顧客の一部の個人データ(お客様のものを含む)に対する、不正かつ違法なアクセスの痕跡を確認しました」と、同社は述べています。
これまでの調査では、ハッカーが以下の種類のデータにアクセスしていたことが示されています。
- 基本的な識別情報
- 連絡先情報
- 国民身分証番号(DNI)
- 契約の詳細
- IBANを含む支払い情報
Energía XXIとエンデサの双方は、このセキュリティインシデントによってアカウントのパスワードは漏えいしていないと明らかにしました。
状況への対応として、同社は侵害された内部アカウントへのアクセスを遮断し、分析のためにログ記録を抽出し、現在すべての顧客への通知を進めています。さらに、追加の不審な活動を検知するため、監視体制を強化しました。
調査は現在も継続中であるため、同社はスペインデータ保護庁および国内の関係当局すべてに通知したとしています。
「本通知日時点では、本インシデントの影響を受けたデータが不正に使用された証拠はなく、お客様の権利および自由に対して高リスクの影響が現実化する可能性は低いと考えられます」とエンデサは述べています。
しかしながらリスクは存在しており、書簡の受領者には、なりすまし、データ窃取、フィッシング攻撃に警戒するよう促すとともに、通知に記載された番号へ不審な活動を報告するよう求めています。
エンデサのデータベースが販売されているとの主張
一方、脅威アクターは先週、エンデサから盗まれたと主張するデータのサンプル(約2,000万件のレコードとされる)を公開しました。このデータは、単独の独占的な購入者に対して販売されるとしています。
ハッカーは、エンデサの顧客情報を含むSQLデータベース約1TBを保有していると主張しています。 販売者が提示した詳細に基づくと、そのデータは、侵入者が同社システム上でアクセスしたとエンデサが述べている内容と一致しているように見えます。
BleepingComputerはこれらの主張についてEnergía XXIとエンデサに問い合わせましたが、広報担当者は公式声明を共有するにとどまりました。
Energía XXIは、このインシデントは同社の運用やサービスに影響していないため、顧客はリスクなく同等のサービス水準を引き続き利用できると述べています。
同社は、進行中の調査で本インシデントに関する追加の詳細が判明した場合、今後数日以内に影響を受けた顧客へ直接通知すると約束しました。
