暗号資産保有者向けの税務計算を専門とするフランス企業Waltioが、悪名高い集団ShinyHuntersが主導する恐喝キャンペーンの標的となりました。攻撃者は約5万人分のユーザーの個人データを侵害したと主張し、この情報を公開すると脅しています。
地元の報道によると、Waltioは恐喝未遂と情報システムへの不正侵入の双方を理由に、フランス検察庁の専門サイバー犯罪部門へ正式に被害届を提出しました。ShinyHuntersは、2024年の税申告に基づくメールアドレスおよび暗号資産の詳細な開示情報を保有していると主張しています。主張を裏付けるため、流出したデータのサンプルを公開しましたが、Le Parisienが指摘するように、そのサンプルには機微な銀行情報、税務情報、または行政上の認証情報は含まれていませんでした。
その後Waltioは状況に関する更新情報を発表し、今回の侵害は同社の基幹インフラや事業継続性を損なうものではないと強調しました。担当者は、システムは稼働しており、ユーザーアカウントおよび独自データは安全だとしています。重要な点として、犯人は顧客のデジタル資産を不正に管理できるような情報を取得できなかったと明確にしました。
Waltioは侵害の具体的な手口を明らかにしませんでしたが、注意喚起では、影響を受けた個人が直面する最大の危険は、その後の詐欺行為――具体的にはフィッシングキャンペーン、偽の電話勧誘、そしてサポート担当者を装うなりすましによる高度なソーシャルエンジニアリング――であると強調しました。
ShinyHuntersには恐喝の長い前歴があり、過去には通信大手AT&Tに身代金を要求し、Ticketmasterの顧客に脅しをかけ、インドの著名な暗号資産取引所を標的にしてきました。彼らの手口は一貫しています。膨大なデータセットを持ち出し、公開すると脅して暗号資産での身代金を要求するのです。フランスでは暗号資産で富を得た人々を狙った誘拐や暴行が増加する中、この種の漏えいは深刻な不安を増幅させます。いったんダークウェブで拡散されれば、このデータは実際の尾行や、極めて標的を絞った心理操作の設計図として利用され得ます。
