2020年6月にハッキングに遭った仮想通貨(暗号資産)ハードウェアウォレットプロバイダー大手のLedger(レジャー)社から、100万件以上のメールアドレスを含むユーザーの個人情報が流出し、ダークウェブ上で公開されていることが分かりました。
集団訴訟、免れずか?
サイバー犯罪セキュリティ企業Hudson Rock(ハドソン・ロック)社によれば、レジャー社のマーケティングデータベースがハッキングされた事件の続報として、ハッカーが情報を売買・共有するダークウェブ・マーケットプレイス「RaidForums」にて、ユーザーの個人情報を公開していることを明らかにしました。
不正に公開されているのは、レジャーのニュースレターを購読する際に登録したメールアドレス107万5382件と、レジャーのハードウェアウォレットをフランス本社から注文した際、入力したユーザーの住所や電話番号など27万2853件となっています。
レジャー社は被害が発覚した当初、9,500人の顧客の名前・住所・電話番号のみが漏洩していたと報告していたものの、セキュリティ侵害による被害ははるかに深刻なものだったことになります。
そのためユーザーからは集団訴訟の可能性も示唆しており、レジャー社は苦境に立たされています。
ハッカーにより更なる被害も
今回のハッキングにより、多くのレジャー・ユーザーは個人情報が野放しに晒されているため、RaidForumsから情報を購入したハッカーにより更なる被害に遭う可能性は非常に高いものとなっています。
実際すでに「relephants」と名乗るReddit のユーザーから、自分のメールアドレスと電話番号を持っていると自称するハッカーから脅迫に遭っていることが報告されています。ハッカーは、relephantsがレジャー社に提供した住所を知っていると脅し、500ドル(約51700円)を支払うことを要求しています。
この時点で状況は取り返しのつかないことになっており、レジャー社も手の届かない事態になっているため、顧客データを持つハッカーからのフィッシング攻撃に注意することしか最善のアドバイスがありません。
レジャー社はこれまでに発生したフィッシング詐欺の概要を掲載したウェブサイトを開設、ユーザーが掲載したものと同様の攻撃を受けた場合に、引っかからないよう注意を促しています。
またこれまでに盗まれた顧客情報を悪用した171のフィッシングサイトの閉鎖に成功したと報告、自社ハードウェアウォレットの保有しているユーザーの仮想通貨資産までは影響がないと強調しました。
